基本上，你用太專業的方式回覆肯定沒人會理你，以我的經驗，很多時候就是唬爛，但唬爛時一定要加上專業術語，在解釋專業術語時，要加一點唬爛，這樣懂了嗎？

以你的狀況....我建議你回覆：雖然公司有防火牆，但只要內部人員有上網，資料就有可能外流，防火牆的確能過濾掉大部份外來的攻擊，但若由內部人員透過通訊軟體(例如Mail、聊天軟體)流出去，這部份恐怕不能完全管制，我的意思不是指是人員故意放上PSP，或許是他們只是某些原因有將資料放到自己mail中方便自己讀取，而因為mail server不是我們公司自己管控，資料是放別人家的主機中，既然是放在別人家主機就有外流的可能，故我建議將mail server架設在我司，這部份的預算我已在詢價，將mail server架設在我們公司，我就能在防火牆管制部份可用所謂"關鍵字"管制，但目前我司的防火牆沒這個功能，有此功能的防火牆亦在詢價中，由於目前沒有資料已流傳於PSP上，在這部份建議公司先行文請PSP公司將資料自他們的server上刪除，由於A所查出來的資料沒有留存，所以資訊組這邊無法去追查相關資料，也由於防火牆對於內部的管控較弱，故目前資訊組的動作會是限制所有人員上網功能，目前資訊組的建議是僅有業務跟採購人員可以上網，其他人員先關閉權限，但業務及採購的上網功能也有限制，我會開xx、xx、xx…等port，我每日針對這些port做稽核，由於資料量大，過濾要花很多時間，所以資訊組開的port不會開多，若有人員遇到要使用到這些port之外的連接方式，就提出申請，但資訊組這邊重申，開越多port，就越難控管，資料越有流出的可能，所以之後資訊組對於申請會嚴加控管，另外，感謝A及B的建議，這次事件資訊組也開始檢討資安上的問題，目前資訊組考量到USB的存取會造成中毒，病毒若是木馬就會有資安上的危機，故資訊組近日內會將所有人員的USB功能鎖定，日後要存取資料都透過資訊組來存取，這是資安上的考量，若造成不便也請大家多多見諒囉！

apol提到：
皆沒有使用P2P軟體，也不會把資料帶回家

既然人家對自己的人那麼有信心，那樓主也可說你的防火牆很乖很忠心的，絕不會造成機密資料外洩...

不過缺乏相關控管機制也是事實
可以藉由廠商之力說明
並趁勢導入
控管得宜
就換別人該該叫

這東西沒產值又造成作業的麻煩
若非真有必要
個人也不希望導入

那可以趁機跟老闆提出目前公司防火牆僅只有規則防護而已
看看是否要更換成可以監控公司內部電腦網路行為的防火牆
不過要提出前，請先把功課做好再去呈報上級，讓上級自己判斷是否要把資安升級
像這種已經出事的建議你找專門人員來協助處理比較好

公司內部資料外洩，該部們長官卻一口咬定是資訊部門防火牆設定不周，導致其部門電腦被入侵而外流，我該如何和老闆說明？(

證明題
1.請該單位先證明你的防火牆設定有誤,請證明確實是被入侵的
2.該被入侵的電腦安裝多少軟體,不是由你安裝的,使用者該負多少責任
3.該部門電腦使用人要求上網,該負多少責任
4.該部門有沒有使用USB隨身碟或是記憶卡的習慣
5.老闆沒有給你預算買更好的防火牆,該分多少責任
6...

新政策
1.全部不能上網
2.全部禁用USB隨身碟
3...

俗語云：抓賊要抓贓；抓姦要抓雙。
打打嘴砲就說：ㄟ..我看到過公司機密文件在網路上流傳，不過現在找不到了...
那就要問問啦~~
「公司內某同仁A經由P2P軟體」...A在哪裡使用P2P軟體啊~~公司還是家裡？
在公司那不就是自己招供嗎？
在家裡...OK...那請問機密文件的保管權責人要負多少責任啊？
公司內部電腦全面清查，有裝P2P軟體重罰....

最後...就是同januslin大所說，全面禁止上網，然後把原由轉向A和B...
最後要問，貴公司是多大的衙門可以讓駭客感興趣呢？

用勢針對資安部分進行強化作業
一、全面封鎖USB埠(用軟體及群組原則擋)
二、公司電腦大清洗(本機ADMIN密碼變更、user權限回收、電腦系統重灌並記錄(然後定期各PC軟體資產清點(請引入相關軟體)
三、防火牆規則強化.........(除允許埠外，通通禁止出去)
..............(還有很多)
看你想玩到什麼程度就是，不過這三點最好進行...有問題也很好抓

感覺上..是B要陷害你的感覺..

資料外洩不全是資安的責任~也有可能有人要設計你，讓你難堪吧...以致自動離職?!

該部門有沒有人可以用USB，有沒有人可以寄外部信件，有沒有人可以用無線網路連上手機!!!資料外洩的管道很多，除非你有做到週全的使用記錄，不然很難說到底是從什麼地方洩露出去。
所以就應該要跟老闆說你要加強資安，買更好的設備，USB跟外寄郵件跟上外部網路通通都要管制。
有時後給user方便，他們又不懂的珍惜，那就如他們所願，嚴格規範吧!!!

apol提到：
有防火牆資料就絕對不會外洩

蓋核電廠的也這麼說....

看來玩心機玩的很重
說真的不好好處理的話
會落到日後都很難相處
建議以不得罪人的方式走會比較好

危機就是轉機

利用這個事件, 反問老闆, 你很在意嗎?
是的話, 放權讓我做省錢又快速的解決方案吧!
->開始全面鎖OS的權限
->盤點已安裝軟體清單, 非公司購買, 必要的一律移除
->防火牆, 出去/進來全鎖, 再依需求特例開放.
特例愈少愈好, 不開放, 需老闆裁示愈多愈好
->再來考慮非公司資產的電腦/手機不能接公司網路, 讀取公司信箱

如果上述都做到了, 又有人說資料外洩
你再跟老闆說, 不花錢的方案都做到這樣了, 一定是人為故意洩漏.
如果你還認為不是有心人為, 是IT做不夠, 你打算花多錢做要錢的方案?
可以做再徹底一些

敢搞我~~~~
我就全部都鎖了...
還有.....
文件都有DRM
上網看非公務網站在開會就把你釘的滿頭包...
以洩心頭之恨

1.經由Web流出? 用Web的log查url
2.經由網路上芳鄰的分享資料夾流出? 沒log可查
3.經由P2P軟體流出? 沒log可查

也不會把資料帶回家
光是這句我就不相信了XDD
我覺得是能帶的早就帶回家了,剩下的沒興趣才不會帶回家吧

USB/內部網路分享/Email/外網連線/手機拍照
上面任可一項能使用就沒辦法擋住內部員工把東西帶回家