公司治理要求公司資訊完整、正確、即時,在全球網路興盛,企業交易依賴資訊系統及電子化的環境下,公司的內部控制是否仍然有效?根據KPMG 2002年全球資訊安全調查之資料,企業在這方面做的不甚理想,原因為何?是認知不足或高階主管對資訊安全未盡應有的注意?還是仍然歸由資訊人員或稽核人員負責?其實公司內部控制制度說的很清楚,保護公司資產是高階管理人員責任,董事會要清楚瞭解公司重要資訊資產及機密資料是否有風險以及保護程度做得如何,並採取實際行動才行。
現實的狀況是,資訊安全一般仍然被視為是資訊人員的責任,但是資訊人員是否有足夠的預算及支援?一個有趣的問題是公司究竟在資訊安全上投資多少資源?依據調查資料顯示,國內大概是佔資訊預算的5%(大部份是買資訊安全之軟、硬體),要以有限的預算去保護公司最有價值的資產,恐怕不易。同時我們發現到,公司經營管理當局未能將資訊安全管理納入整體管理系統中,在網路安全防範上則相當之投資以防範外部入侵威脅,這些就以往發生之重大資安事件來看,損失金額並不大;相對的,內部人員之舞弊或資訊錯誤中斷造成營運受到影響,恐怕損失更多。資訊安全資源之分配是否正確,值得思考.
