不只防护系统，更要防护信息

　　一个地方只要存有信息，安全经理就得时时牵肠挂肚。在我们调查中，过去一年发生过1~49件安全事件的公司有38%;而另外35%的经理不知道公司是不是有被攻击过。这和去年结果相去不远。

　　在这些曾经受害的受访者中，有39%是透过服务器或防火墙log发现，37%是安装了入侵侦测或入侵防御系统。但也有很大一部份─36%─表示，是同事告诉他们的。这些数据反映出一个千古不变的道理，就是想建构良好的信息安全环境，人的重要性不亚于技术。这再度证明定期员工训练的重要性。

　　灌输员工数据防护与完整的责任观念，是确保公司免于安全威胁最好方法，大陆航空CISO Tim Stanley说。

　　Stanley将公司的所有档案依据3种变项来分类：所有人、商业价值和风险层次。政府有“绝对机密”、“极机密”、“机密”3种等级，但大陆航空要求的更细，更灵活，分成层次和子层次。该公司会这么想，使得它比其它公司走得都要前面。只有24%的人表示，公司信息政策包含根据数据的商业价值来分类。虽然有68%根据风险程度来分类，但有30%从来没有执行过。

　　此类项目的复杂性，说明了为什么比例这么低的原因。Lobel说：“这个项目要做很多工作，除非有法令规定，否则许多人不可能投入。”

　　Stanley预计一个项目得花3~4年。“任何和飞机飞上天，以及和钱相关的数据都算第一层。”她解释。这包含机组人员排程、货机和油料需求，以及信用卡处理数据。第二层或第三层也很重要，不过是非关飞行的信息，例如让员工存取退休年金账户相关数据。

　　安全技术和程序必须和数据所有人定义的数据风险和层级相对应。层级一可能要求一天两次备份及双因素认证。“我可以依据数据的价值来投入适当的资源，并因此帮公司省下钱。”他说：“不用再花10元来保护价值仅5元的数据。”CEO听到这番话一定很高兴。