承昨日談，良好的安全控制可以為企業運作帶來效益，那麼，今天來談談企業IT文化，首先試問個問題:貴公司現在IT在公司內，運作的模式是偏向**"服務導向"，還是"管理導向"**?

• 服務導向:IT今天配了一台電腦給USER，上面裝滿USER指定的軟體，交貨時服務到府，最終要請USER給予滿意度評分，未達5顆星得扣考績.....
• 管理導向:IT今天從標準配發的電腦上，發現違反規定的盜版軟體，依據管理辦法進行通報與處置，亦依循週期性盤點進行端點安全性檢查，滾動檢討問題環節。

昨日說過，無論管理還是服務，天秤太過偏向一邊都不太好，但台灣多數企業在管理文化上IT較為弱勢，屬於幕僚單位趨向服務導向，而服務導向是以方便為核心、安全風險擺後面的型態，能用就好、出事再說，長期下來潛在資安風險完全失控。

幸好，運用資安此千載難逢的機會，讓管理導向的另一端逐漸拉回來吧。

透過企業內推動資安，風險/危害提出來，取得長官認同由上至下，最終杯酒釋兵權回到管理框架中，此後內部IT可以不用這麼服務業，將心力放在安全風險管控。

您可運用下列三隻箭，可以逐步地把管理框架融入企業營運中，能控制才能收斂各種亂象，改善企業文化下的資安體質:

1. 建立機制:把使用行為、服務範圍界定在一個有限的範圍中，使其風險可控。
   1-1. 制定管理辦法:有點像法律，將可行、不可行的行為標準定義清楚，明文規定罰則，讓高階主管簽署發佈，後續落實措施方可有法源可依循。若不知道怎麼寫，可參考ISO27001、ISMS的文件，或是google關鍵字"管理辦法"、"三階文件"，照抄且依產業特性微調就有囉。
   1-2. 建立檢核機制:有管理辦法後依循PDCA，C的部分最容易被忽略，有檢核機制才能確保管理辦法長期有效、滾動式檢討修訂改進。
   
   1-3. 建立表單:承上兩項，這是"四階文件"的部分，把機制中需要表單、格式的部分匡列出來，讓申請人照表填寫。

2. 落實+配套措施:使管理辦法所載的東西實際在環境中執行，落實安全性機制。(例如:發布USB管理辦法後...)
   2-1. 落實措施:這裡指的較跟我們IT直接相關，例如建立管控系統、從系統上限制、系統event log檢查。(例如:建立端點管理系統、從系統中設定停用可攜式USB儲存裝置存取權、檢查觸發此條件的紀錄)
   2-2. 配套措施:由於可能正常業務上還是有少部分需要使用，建議採配套措施讓衝擊不會這麼強烈，且在風險可控的前提下進行使用(例如:特定USB可以於公司內流通)
   

3. 宣導:實施之前的公告/教育訓練/說明會/Email，讓受管理的人清楚知道緣由、OK/不OK的界線、有什麼替代方法可以用、遇到狀況時找誰，指引說明。此舉不僅讓USER明白"我們要開始管了"，也讓老闆看見你的價值。