我們要保護誰？

資訊的發展約末在 20 年代發展，直到21世紀網路的到來開始蓬勃發展，
一開始既有電腦網路、通訊設計，均係沿用至今 50 年左右的科技技術，
例如像是 OSI 七層模型、TCP/IP 協定，以及由此延伸出來各式新舊混雜的資訊環境。

當我們考慮資訊安全或資料安全的時候，
往往都是針對「現有、既有」已經存在的技術系統，
需要思考如何透過新增一些防護措施來提升安全性的強度
在既不影響原有系統架構與運作下，同時做到資安防護的需求。
當然也有資訊安全強調在系統開發與設計初期，
就導入 Security by Design 或是 DevSecOps 的開發框架與流程，
在最前端開始即把安全性需求納入，這樣就能做到「原生」的安全防護，
同時也提供技術架構複雜度的簡化、投資成本低廉，以及易用等幾個特性。

企業考慮的安全角度？

除了擁有開發與設計部門的企業組織之外，
更多的公司行號與提供服務型的組織，其實不太有能力從源頭就加入安全的元素，
所以綜上來看，其實資訊與資料安全其實可以簡單的區分兩個粗略的分類：
「透過外購、外置的技術措施」以及「原生、內置的安全機制」
兩者方向各有其適用以及優劣之處，端看要導入安全的組織的需求性為何。
而無論是前、後哪一者，對於企業而言，
追求資料安全的提升與強化，仍有其背後共通的目的存在。

經濟發展推動的必然

就像以前鏢局押鏢，要雇用剽悍的鏢師的概念一樣，
押送貨物本身的價值、路途的遠距、一路上治安的好與壞，
都影響與決定鏢局要投入多少成本來雇用多專業的鏢師。

同理市場經濟運作，開始發現因為資安帶來的的問題產生的成本與損失，
開始顯著地影響商業運作、經濟效益（商譽、競爭性、金錢、收入、成本）時，
就會開始導入相關的措施來強化整體企業運作的安全性。
所以人性或商業運作的邏輯使然，就讓人開始自動的發展出這條路線。

所以如果歌舞升平、路不拾遺的良好治安，那鏢師可能不用多也不用太專業，
但如果恰恰相反的而是盜賊猖獗，但鏢局這樣外部成本就會顯著的提升

組織性的倡議與協議

當更多的投入到一個產業當中時，就產生所謂的行規、行會，
開始有比較影響力的勢力團體，可以主導或影響一個產業的大方向的走向，
這時候就像古代各省商號一樣，像晉商一般，甚至可以決定生意該怎麼做。

資訊安全也是如此，雖然歷史發展不過 50 年，
但也有這在過程具影響力的組織、協會、公司甚至政府參與在這標準制訂的過程，
像是 ISO/IEC、DoD、IBM 等等，透過協議好的機制，大家一起遵守後、共同維護。

而這 2 年最新成立的半導體協會 (SEMI) 即是最顯著的一例，
由世界具主宰性的台積電發起，建立與要求所屬供應鏈、製造過程需遵守的標準，
當後進者需加入到這樣的生態系運作時，勢必就得先遵守相應規格，
自然就能將相關資訊/資料安全自動拉抬平均水平、進而達到推動與實現安全防護的效果。

產業標準與合規性

不同於組織型倡議與領導的協議架構，
在一些特許經營的產業類別裡，如政府、金融、醫療等產業裡，
因為攸關人類社會運作的基本穩定性，
不能等到賺了錢才來要求，或期待老大哥出來主持正義，
甚至必須有專責的人力、單位，進行長期制度的訂定與維持。

資料安全的領域在各個高監管產業裡，均有其各自需要遵守的法規與標準，
且要求遵守的強制力道遠高於其他行業，
目的只是為了確保整體行業的穩定性在高標準的要求下，
可以維護社會秩序與日常關鍵業務的發展。

小結

當事情需要額外去做的時候，我們往往將之視為成本與困擾，
但當事情初始階段必須得做，我們又將之視為投資與必要性。
資訊安全即是如此，無論從經濟層面、地緣層面或是行業層面，
企業考慮或在意資料安全與否，往往還是跟其商業生意周邊息息相關，
而不是單獨、本身能單獨存在的產物。
透過理解企業的營運特性，才能在各行各業裡提供剛剛好的安全。