从信息科技或信息系统之委外面向探讨信息安全相关议题.pdfVIP

558 I信息管理前沿理论与技术研究(中文卷) 2．2信息科技／信息系统委外的成功因素 职责所在，主动的承担分内的工作，对于核心成员应 维持其完整性，注意信任度与道德的规范，才能在动 信息科技／信息系统委外的成功因素，Norley，K． 态的环境中，避免只运用严密的控制来达到目标。 (2001)提出五项具体的思考模式，可作为本研究的 参考。 综上所述，Cn原则强调的是制度面的控制，而 1．对合约之中止预作规划：任何一个完善的合 砌TE原则强调的是人性面的管理，两者强调的重点 约均应预期总有中止或到期的一天。当决定将系统委 虽有不同，但维护信息安全的目标却是一致的，故可 外时，应问自己以下之问题： 以相辅相成。 (1)当合约中止或到期时，会发生什么事? 4信息科技或信息系统委外所产生的资安 (2)如果厂商持续执行不力，应如何处理? 问题 (3)我可以重新再委外吗? (4)当组织决定停止委外，应如何处理? 本节将先整理出信息科技或信息系统委外的危 2．契合组织之文化：一旦签订合约后，和谐的 险因子，接着再简述A．M．Khalfall几位学者对此等危 合作关系有赖双方之互信与团队责任。 险因子所产生的相关资安问题之处理方法。 3。交由委外厂商管理：委外厂商之责任为提供 4．1 信息科技或信息系统委外的危险因子 IT服务；客户之责任则为在预算和时间的限制下，确 信息系统或信息科技的委外，并非毫无风险。 保厂商的产出与企业的需求相符。 4．代表所属的组织，了解委外之相关信息科技。 风险因子： 5．合理的期望，避免要求不切实际的期待。 1．将信息科技委外视为一般商品之委外。 3信息安全 2．合约不完整 3．未能建立与维持自行处理的必要能力与技术。 随着全球化的趋势，企业营运亦呈高度信息化与 4．不对称之协商能力以至于独厚厂商端。 普及化，而于服务过程所产生或处理的信息及营运资 5．多项委外之预期目标不合理。 产的保护，更攸关能否维系竞争力、现金流量、获利 6．合约中，未订定新科技发展之相关规范。 能力、符合性、及商业形象等。根据美国联邦政府编 纂的法典(UnitedS协tesCode)的定义，信息安全为 私部门之信息科技或信息系统委外，安全议题(即资 “保护信息及信息系统，使之免于遭受未经授权的存 料机密性)均被认为是最重要的风险考虑因素，其他 取、使用、揭露、瓦解、变更或毁坏，为了提供其完 四项因素则为操作与管理新系统之能力、关键11r人员 整性、机密性与可用性”；BS779MS027001国际标准 的离职、合约未声明之隐藏成本、不适当的规划与管 则将信息安全定义为：“信息对组织而言，就是一种