许多企业面对咨询公司的邮件安全建议,或是打算着手信息安全优化的单位,必须要面临的问题,除了要有良好的系统工具辅助外,明确管理模式与执行单位是首要事项,因为许多好的方案往往因为没有事前做好跨单位沟通,或是缺乏主导方强而有力的支持(通常是企业中较高度职权的人或单位),致使该方案胎死腹中无法执行。这样的例子在许多好的企业中是很常见的,除非受到了 ISO 27001 或企业内部控制基本规范等标准要求,某些行业与企业因准备上市受到了 SOX-404、证券行业信息隔离墙规范等要求,使得单位必需在要求的期限以前完成布属与建置,否则一般光靠少数人(除非你就是老板)或IT单位,是无法搞好整个企业的信息安全的,所以从邮件安全的角度出发,必需有跨部门的配合,才能将该方案真正落实与展开,以下说明在获得可靠及有力资源下,如何决定管理模式,且依据我辅导企业建置邮件安全系统的经验,与大家分享思路与方案。
邮件安全是每家企业必须重视,或是应该被重视的事情,但所有的管理员都会面临一样的问题: 身为老板想做到较好控管,当风险处于可控前提下,如果能记录留痕每个人的邮件以备不时之需是最好的,但是通常老板又担心自己的邮件也在 IT人员监控下,所以希望有这样的工具,但又不希望 IT 人员能看到整家公司的机密。身为 IT 人员其实在有这样的邮件归档系统后,也担心自己的责任与压力过大,不愿被老板猜忌,对此工作充满担心。因此良好的邮件安全系统,应该有多权分立的概念,同时又可以灵活调整个人或跨部门权限,包含可以自动产生统计报表等,再进一部的安全性原则,应该在开启邮件内容时,需通过两人以上授权,才得以开启查看该邮件内容,并且所有的查看与调用的记录,都必需留痕而且无法被删除的。在制定信息安全管理流程时,可依 PDCA 的概念循环执行与审视每个环节,才可以做到较好的安全管理流程规划。下图为信息安全管理循环的四大流程: 规划(Plan)、执行(Do) 、检查(Check) 、行动(Action)。
当确认邮件管理必需被执行,应该思考管理模式,因为毕竟执行单位是很重要的,当系统导入后,还是有管理单位必需利用这套系统进行管理,在 Action 阶段配合业务需求单位,进而慢慢完善管理环中的审计与安全问题。企业中是否有专门审核单位是第一个考虑问题,如在金融或证券行业,合规部通常就是该系统主要使用者,针对业务需求,合规部就会是主要的用户,但对系统运维而言,又是合规部不必操心,且无需开放系统相关配置权限给到合规部,以满足系统分权控管,一般在决定管理模式可视单位情形,分为以下两种:
单人或由审计单位控管
企业设有专门审计单位或已编制专职审核人员的企业。
已有明确管理制度,一开始就讨论好并制定策略,由审计需求单位宣导推行。
企业大于2000人以上。
由各部门主管进行审核
企业无专职编制审计单位,或无法指定人员可作审核的企业。
一开始无法制定明确管理策略,正在制定或打算经PDCA循环中逐步形成规则的企业。
企业小于1000人以下,且单部门不超过 100 人。
在这两种模下各有优缺点,分析如下:
利用已经设计好的多权分立邮件审计系统,才能达到事半功倍的效果。守内安邮件安全审计系统Mail SQR Expert 可以协助企业做好管理电子邮件安全,从企业所有邮件留痕,到聪明的邮件事前审计,协助单位在 PDCA 循环中逐步强化邮件安全策略,并落实到多权分立分管,真正有效为企业提供优秀完整的安全解决方案。
