信息化打造核心能力

随着信息与网络科技发展，在台湾大小小公司里，计算机相关设备与应用软件已经很普遍，虽然信息科技的运用不过二十多年历史，但是对台湾企业而言，E化已经是一个完全不一样的概念。

早其台湾企业使用信息系统，主要是以电子化取代人工操作，提高工作效率，例如以应用于软件管理仓库的进出货、处理订单及客户数据、日常会计核算及产生报表、处理员工人请假作业及代替发放薪资等，都是很普遍的例子。

随着全球化发展，中国台湾不少国际化企业在客户关系管理，新产品开发，与全球运筹管理等领域彼此激烈竞争，新经济时代，信息科技的运用已不限于支持企业日常作业之需求，逐渐成为竞争与发展的策略核心。1990年代末期广达、英业达等电子大厂商纷纷导入SAP系统，为的是与美ODM大厂的信息系统联结，通过电子化方式完成订单的接受、制造、采购以及出货等作业，强化双方合作关系；SAP变成与ODM大厂建立长期伙伴关系的重要门槛，某电子大厂信息长说：“戴尔人来中国台湾挑选代工厂商时，只要听到我们用的是SAP系统，其他问题就不问了，因为他们很清楚，以SAP处理的订单交易是无法做假的。”

这几年来台积电稳坐全球晶圆代工龙头宝座，主要归功于“虚拟晶圆厂”策略成功，依据董事长张忠谋先生的说法，所谓“虚拟晶圆厂”就是客户可以把台积电的晶圆厂当成他们自己的晶圆厂一样，甚至比他们自己的还要好，也就是说，在客户眼中，台积电晶圆厂在机密维护和信息取得上就如同自己的厂一般。

然而“虚拟晶圆厂”策略之所以能够落实，最主要还是靠信息科技的协助，对IC设计公司而言，最关切的莫过于所设计的芯片，为了满足IC设计公司对芯片制造质量信息的实时需求，台积电先将内部制造与产品检验的系统整合完毕，再通过网络技术让IC设计公司随时可透过网络查询代工芯片进度以及优良品率，瑕疵等数据，回馈信息的速度甚至比IC设计公司自己的工厂还要快还要好。

研发信息不安全，危害企业竞争

水能载舟亦能覆舟，信处系统功能虽然强大，本身弱点及不可控制因素也很多，以雅虎网站为例，其搜寻功能早已是从多网友爱用的工具，却也是全球网络黑客最喜欢攻击的对象，根据世界各地这几年发生的信息安全事件，企业在营运及策略上对信息科技的依赖愈深，信息安全事件对企业造成的伤害也愈大，中国台湾某家知名科技公司在大幅扩张期间，与国外设备供货商以电子化方式处理采购下单以及设备入仓及领用作业，但是由于该科技公司所导入的ERP系统安全控管机制不足，与供货商对账时才发现两边系统对于已完成订单以及设备领用记录有误差，误差金额高达20台币，而且找不到原因，一时之间双方关系一度紧张。

以台积电“虚拟晶圆厂”为例，可随时从网络上查询芯片代工制造相关信息，对IC设计公司而言固然很方便，但也很具威胁性，如果有人运用网络黑客技术，窃取IC设计公司查询的数据，马上就会引发机密数据外泄的问题，同时影响台积电与客户的合作关系以及IC设计公司的竞争力。

除了信息与网络系统本身的安全性之外，研发数据的保护不周也会严重冲击企业竞争力，台湾制造业与代工业之所以能维持获利，是因为比竞争者早几个月将取得价格优势。所以对竞争者而言，制造业的研发数据具有极高价值，绝非其他营去信息可比拟，况且研发资料可以直接使用，一旦被竞争对手取得，立即可以制造出类似产品，或是吸收其中智能来改善既有产品，想想过去中国台湾就是以这种超强的模仿能力击败其他国家，因而研发信息资产，企业如果缺乏适当安全管理机制，很容易发生知识财产遭盗用、核心研发资料外泄、资深研发人员被挖角、研发数据损毁灭失、未经许可修改造成设计错误、宝贵研发知识白白流失等，严重影响企业竞争力的信息安全事件。

面对内地制造业来势汹汹，新产品研发已成为台湾制造业之命脉，除了当局大力推动建立中国台湾为亚太研发中凡政策之外，台积电、广达等高科技领导企业同时大幅扩充研发部门规模，研发预算不断创新高。然而长期以来研发作业却是台湾企业管理上比较脆弱的一环，不但欠缺陷有效的安全管理机制，意外事件更是频传。如在这之前才发生的某高科技公司研发泄密案，某电子公司研发人员被挖角，还有前年东科大火烧掉多家科技公司多年宝贵资料等，不但冲击整体营运，削弱企业竞争力，还会赔上公司形象，影响代工厂与国外ODM大厂的合作关系，如果连企业本身命脉的研发数据都暴露在外来威胁下，如何能合理保障ODM大厂的技术信息能获得妥善保护，所以在大力强调提升研发能力时，研发作业信息安全是台湾企业必须面对的问题。

传统内部控制与风险管理及信息安全的关系

传统内部控制主要是从维护资产安全，确保财务报道允当表达及遵守相关法令规章这三个角度，对流程中各个作业设计实行控制，而且在设计控制措施时，主要考虑控制措施执行的成本，比较少讨论控制措施是否足以协助企业将风险降到可接受水平。

风险管理则是以风险为主要控制目标，强调现行内控制度须能有效将风险降低到可接受水平以下，否则就必须增加控制措施，因而对于面临复杂经营环境及挑战的企业而言，风险管理比较能找出所有潜在风险，并依据企业策略目标及发展方向，排定优先级，建立适当管理机制，交重要的风险项目降低到可接受水平以下，减累意外事件对企业的伤害。

信息安全则是将重点放在信息资产的保护，信息安全可以协助企业找出信息资产面临的风险，排定优先级之后，设计适当控制措施予以保护。

研发风险与信息安全

前面研发作业内部控制中已说明“企业整体风险管理(Enterprise Wide Risk Management)”的意义与内涵，就风险管理而言，企业必须找出所有可能造成获利目标无法达成的不确定因素，也就是风险项目，并予以适当管理，与过去相比，在全球化日益复杂的竞争环境中，中国台湾企业面临更多挑战，更多不确定性以及更多风险，因而，对于以开发新产品为主要获利及发展策略的台湾制造业而言，控制并降低研发信息风险是策略管理的一项重点。

信息本身就是一种资产，特别是研发数据/信息，对企业而言，是价值非常高、非常重要的资产，例如某家以灯饰为主要产品的公司，其电新的艺术灯饰设计图，就是该公司最重要的资产，一旦设计图落到竞争对手手中，很可能在此项新艺术灯饰上市之前，竞争对手就已模仿其设计概念，推出类似产品，这将对该公司销售收入及市占率造成严重打击。

困此，从信息安全角度来看，所谓风险(Risk)，是指企业因为遭受灾难、意外事件、恶意保护措施，本身十分脆弱（称之为资产有弱点），而且面临外部威胁，可能危害该项资产，信息安全风险就是指某些特定威胁，不论是来自公司内部或外部，利用信息资产本身的弱点，对资产造成损害的可能性。

当信息资产面临风险时，企业可能采取两种应对态度，一是“甘冒风险”也就是不管它，不对资产采取任何保护措施，任由风险存在，另一是采取适当措施来保护资产，将所承受的风险降低到管理者可接受的范围之内。

信息安全管理观念

在对研发信息资产面临的风险有了初步概念后，我们进一点说明信息安全的观念及管理架构，信息安全的标的是信息资产，而信息资产则是企业价值的代表，获利来源，企业有很多的资产，包含有形的厂商设备及无形的知识产权等，每一项资产对企业的价值及重要性皆不同，资产遭到破坏时，对企业的冲击程序也不一，资产对于企业营去与获利愈重要，其价值就愈高，遭到破坏时对企业造成的损失也就愈大，风险也就愈，愈需要适当的管理机制来保障资产安全。

除了资产价值外，另外两个会增加风险的因素，资产本身的弱点以及所面临的威胁，一般资产本身都有弱点，只是脆弱的形式及程序不同，就有形资产而言，例如厂房设备、现金、重要文件、计算机设备，除了本身可能遭窃外，实体就是弱点，而火灾、水灾、恶意破坏就是威胁，无形资产虽然没有实体，还是会有弱点及威胁，例如机密信息或数据虽然没有实体，但是信息可能外泄或被竞争对手得知，电子数据可能遭到不当删除或损毁而灭失。

整体而言，资产价值愈高，对企业就愈重要，而资产本身愈脆弱、面临的威胁愈强大，受到破坏的可能性就愈高，汇合起来企业承爱的风险就愈大，因而企业必须针对重大风险项目，指出安全需求，并设计适当控制措施，以保护资产弱点，减少资产面临威胁，进而将风险降到可接受水平以下，减轻企业因为意外事件的损失。

【 发表评论 0条 】