資訊技術(IT)與貴公司:如何發展下一步

全世界的公司都努力從經濟危機中振奮、成長。新科技正創造榮景,但投資任何資訊技術策略反而會陷入過去的障礙。商業標準,如 ISO/IEC 27001 ISMS資訊安全管理系統,可協助您發揮預算的最大效用。

電子資料爆炸的成長已成為重大的問題。全球資料數量將會每年以倍數成長。在這樣的狀況下,2009一年所創造的資料就超越了人類有史以來到 2008 年。而且此成長率完全沒有減緩的跡象。

同時,電子資料儲存技術和需求同步成長。很快地,消費者將能夠買到可以儲存一輩子都看不完的影像的手持裝置。更重要的是,我們現在有能力儲存、搬移、以及分析超級大量的資料。

然而,資訊安全被侵犯的風險隨著資料流量而與日俱增。企業現在可以擁有用戶與客戶的高度敏感資訊,不當使用會造成嚴重的傷害。同樣地,企業必須用規劃、政策和自身的潛在客戶清單來防衛。但要獲得協助其實輕而易舉。取得知名商業標準的驗證,包括 ISO/IEC 27001 資訊技術和 ISO/IEC 27001 資訊安全,以向股東及客戶展現對於資訊安全的認真看待。

現在有機會讓企業聰明運用其市場資訊。這項挑戰是對抗日益緊迫的時間壓力、找出符合成本效益的方式來處理資訊,而不必在安全性、可用性、正確性、或合法性上妥協。

轉換模式與驟增資料密切相關的是新資訊技術模式的出現:特別像是分享服務及雲端運算的概念。未來,即使是小企業也不會擁有及執行自家的資訊技術能力,而是購買所需的資訊技術服務,就好比購買電力一樣。

這對企業有兩層意義。一方面降低成本及碳排放量:將資訊技術移到遠端,可節省能源、空間、硬體、以及人事。

另一方面,至少概念上,企業將資料的直接控制權交給第三方 -資料傳送時可能超越一般的疆界(透過擴展全球供應鏈,這樣的情形與日俱增)。兩者都將會引發資訊安全與管理權上的問題。

處理資訊的管理權

到目前為止,有證據顯示許多企業正被快速暴增的資料淹沒、無法掌控。資訊安全的措施沒有跟著資料量同步成長,潛在地危害企業的營運持續。

例如, PwC 最新的資訊安全調查發現,英國 2010 年資訊安全違例事件的數目及成本已達 2008 年的總和 - 達到這些受調查者的平均成本 485,000 英鎊。

還發現雖然企業將資訊安全視為高優先順位,但科技解決方案的花費仍然多於管控技術。結果許多科技組織都處於追趕的劣勢,而且包括提供橫跨整個供應鏈的需求處理。

BSI ICT 行銷發展主管 Breda Corish 表示,企業應建立能適應日益演進需求的資訊政策。

「例如,」她說,「許多企業可能會規定員工如何使用網路,而不是企業如何在傳媒上展現自己。」她補充說。「很明顯地,讓政策跟上時代是很重要的。」ISO/IEC 27001 資訊技術引導目前的資訊安全管理良善作業,並強調政策目的不僅適用於企業,還能應對變化。

同時,其伴隨標準 ISO/IEC 27001 資訊安全是企業導入資訊安全控制的方式,然後這些資訊安全控制可以於內部或獨立地稽核,以展現給客戶和其他利害關係人,企業已遵循了良好的實務作業。

ISO/IEC 27001 很快成為國際標準,企業認真討論並尋求資訊安全議題:PwC調查的公司有 40% 表示供應鏈的客戶已要求他們要符合 ISO/IEC 27001 這項國際標準。

還有,企業不只需要保衛資訊,也需要有效地管理,是為了符合國際標準,也是為了營運效率及營運持續。最近 Harris Interactive 關於歐洲資訊工作者的調查顯示,受訪者花費他們每週 30% 的時間來驗證資料的正確性與品質。

這正是為何聯合國決定要導入此標準並尋求獨立第三方 ISO/IEC 27001 驗證。聯合國不只是想要採用最佳的手法以管理資訊安全,也想要向全球展現他們的作為。此外,ISO/IEC 27001 協助企業在資訊安全領域對其政策、指引、文件化的控制、以及相關活動(像是營運持續與災害復原)建立一套合乎邏輯且周詳的盤點。如 ICT 資安長 Dino Cataldo Dell’Accio 所言,「我們能以非常一致性且快速的方式來評量我們準備好的狀態,而在那之前將要花費好幾個月的準備時間。」

BSI ISO/IEC 15489 資訊與文件提供記錄管理(從建立到作廢)的最佳實務作業指引。雖然原來是針對執行人員,此標準目前已被修正為管理系統標準,新 BS ISO/IEC 30300 的一部份。這項轉變是因為資深經理人知道,牢靠的記錄管理政策可以協助他們達成企業的目標,特別是改善客戶服務方面。畢竟,無論資料如何安全地儲存,若這些資料過時或無法找尋,就沒有什麼商業價值。

後者也突顯「e-探索」方面的高漲興趣,尤其是來自於企業,因為他們也許需要在法庭上證明電子儲存資訊的真實性。BS 10008 涵蓋了這項挑戰,引導如何在使用期限間管理資料,以保存其法令效力及證據上的權重。

法規面

即便是日新月異的資訊技術,也無法逃離那些將要制定資訊持有與使用的法律、來加緊預防進一步資料濫用事件的立法者的關注。結果BSI 的 ICT 產業內容經理 David Fatscher 的說法是「顯著的法規推手」。

Fatscher 指出,此趨勢適用於全球。例如,與隱私權和資料保障相關的歐盟法規目前正在審查中,美國眾議院也已舉行會期探討有關雲端運算的安全性議題。

在英國,資訊委員辦公室 (ICO: Information Commissioner’s Office) 已取得新的授權,且立法者將能夠對公共產業的組織執行強制稽核。這也許可以擴展到私人企業。ICO 將能夠課徵高達 500k 英鎊的罰鍰。這些罰金對大企業不會造成任何財務困擾,但重點是商譽的衝擊。

顯然地,立法者的注意力當然會專注在高度重視管理與規範的金融服務業。資訊管理權將會在日益強化的安全控管之下。

目前正在發展新的英國標準,將涵蓋金融服務產業應如何管理法律規範議題。
BS 8453為零售與量販金融公司,訂下經營規範計畫的良好實務架構。

社會媒體

新科技另一面向是社會媒體來勢洶洶地興起,這個趨勢對資料爆炸更加地推波助瀾。

Facebook四年內就變得廣泛普及,現在大約有四億的經常使用者。Twitter 目前則大約有一億位經常使用者。在 2010 年第一季,就發佈了四十億則 Twitter 短文 (tweet),相當於每秒發佈 750 則 Twitter 短文。而這只是部落格、討論板、線上社群、以及其他社會網路的冰山一角。

這麼大的量,無可避免地會吸引企業及其他機構的注意,因此造就了在 Facebook 上發展企業、大量運用部落格與 Twitter 來發聲的 CEO 熱潮。此現象其實是構築在非常根本、有說服力、且扎實的理由:人們傾向接受信賴者的建議來購物。

最近的研究顯示,習慣使用這種社會網路的上網者,進行採購決策時,對同儕意見的信賴比廣告高三倍。而且 91% 受訪的消費者表示,線上消費目錄是進行採購決策時的第一大輔助工具。無論什麼消費種類,購買者會依據網路見聞來進行決策。
因此,「在同業中的佼佼者」的社會媒體執業者在許多主要方面都超越一般公司:近期的研究顯示,他們比一般同業競爭對手的留住客戶機率高上 36%,預估客戶行為一樣高上 36%2。要從不景氣尋求突破的企業就不能忽視任何瞭解並且與客戶互動的機會。

社會媒體網站(像是 Linked in)也成為公認的專業關係管理及人才招募產業的商務工具。新英國標準 (BS 8877) 著眼於企業運用這些線上科技(包括社會媒體),吸引、選擇、和招募潛在人才的最佳作業,來制定成法規條文。

人民力量的崛起

最後,科技無所不在的趨勢也造就了一項社會反應。科技版圖最終興起的領域,是在消費公民及政治人物間日益高張的資訊自覺意識。逐漸地,他們要求企業要更加透明化,也要求個人資料要更為保密安全。

從這個觀點,可能 Facebook (以及許多其他類似產品)的興起,其實沒有那麼來勢洶洶,因為從醒來到週末夜晚參與派對、直到週一早上的求職面談,一個人的隱私鉅細靡遺地都記錄在這裡。 2010 年五月,QuitFacebookDay.com 促請這些「沈迷上隱者」遠離這項有害的習性,其主張基礎就是 Facebook 並不尊重使用者的隱私權。

在接下來一、兩年,「戒除 Facebook」有可能成為左右社會媒體如何發展的領頭羊。從 Google Street View 街景偶爾見報、關於破壞隱私的負面報導,也可以看到相同的消費者疑慮(在澳洲已經因為破壞隱私而禁用)。在英國,對閉路電視 (CCTV) 的疑慮日益增加– 關於閉路電視的規定將要經過當前英國國會會期的審查,因為有提案聲稱這是退化為「警察國家」。

維護消費者隱私、也關心自身在資料保護法之下法律責任的企業,可以運用 BS 10012 資料保護,此標準提供負責任、給予信賴、以及有效方式來管理個人資料的架構。此標準提供訓練及自覺意識、風險評估和資料共享與拋棄作廢的相關程序。
和其他管理資訊標準共通之處是,此標準提供發展藍圖,在這個快速變遷的版圖中成功協助探討未來的遠景。

- 全文完 -