近年来随著国内研发能量与技术能力的提升,高科技产业产值不断升高,占国内生产毛额比例亦日益增加。台湾高科技业发展方向从早期 PC、IC 至最近的光电产业,经营型态也从早期的单纯代工模式(OEM)走向设计代工(ODM),或更进一步发展自有品牌,甚至跨上国际舞台。
二十一世纪的今日,台湾已是机械设备、电子代工及其它诸如技术纺织、农渔技术养殖等产业大国,光是高科技产业於2003年的产值即占台湾制造业产值高达六成的比重。
笔者多年前在国外差旅时就亲眼在一幅介绍各国特色的地图上看到台湾。 不同於其他地方,如巴黎的凯旋门、纽约自由女神像,台湾则是用PC来标示,这多少可以看出外国人对我们台湾的印象就是一个科技岛。现代的国力就是经济力,而高科技业就是台湾重要的经济力支柱。
技术的快速变化、多变的顾客需求与国际大厂的竞争,使高科技产业充满高度不确定性。厂房设备过度集中,地震风灾或断电缺水也让生产交货的稳定蒙受打击。再加上专利权的争战和产业间谍的横行,在在都让高科技业者面临严峻挑战。由此,高科技业对安全管理的需求也较一般企业来的高与迫切。
安全管理始自 企业明确的安全政策
安全(Security)的定义就是「利用主动或被动的各式方法,来保护或保存一个环境,使其在组织内或社会内的活动以及追求目标时可以不受干扰的进行。」在面临众多的事业挑战时,一个良好的安全计画与施行是不可或缺的。
一个良好企业安全管理始自於有一个明确的「企业安全政策」。在这企业安全政策中要揭示企业安全的宗旨。
企业安全管理的目的是∶「保护公司的资产不受到各种方式的威胁,使可能发生的事业损害降至最低,投资报酬及事业机会增至最大,和确保公司事业的永续经营。」而其中的资产就包括有形的实体资产,如人员、厂房、设备、资财、金钱;和无形资产,如智慧资产和商誉。
一个完整的企业安全管理架构包含∶ ?实体与环境安全(Physical &Environment Security); ?人事安全(Personnel Security); ?资讯安全(Information Security); ?紧急应变计划(Emergency Planning); ?企业安全稽核及事件调查(Security audit & Investigation); ?企业安全教育训练及宣导(Security Awareness Training, Education & romotion)。
高科技安全防护之特性
一般而言,高科技业在企业安全防护方面有以下需求特性∶ 1. 机器厂房设备高价,重置不易。 2. 生产流程精细紧凑,易受干扰。 3. 智慧资产影响竞争,保护不易。 为此,一个良好的企业安全管理必须要能针对前三点,找出己身企业的风险弱点,再进行对策的拟定与实施。
管理细节决定胜败
相较於高科技服务业(电信、网路服务等),所谓的高科技制造业在安全管理所愿意和实际投下的资金都相当的充分,不过却常存在对科技的迷信,仅愿意对安全科技设备装置和系统进行大量投资,对於管理层面的设计和管理体系以及专业人力上则有加强的空间。
至於高科技服务业部分,因为主体主要是人和知识资讯所组成,除了特定场所(重要机房办公室、电力设施、资通讯设备等)必须投资大量的设备外,其馀都是以在管理体系上加强为主。在设备需求相较少,但在管理体系软体和专业人力上需求上反而较多。
笔者曾经参观过多家高科技企业,包含服务业和制造业,发现其中绝大部分的企业都将安全管理交由厂务或是总务来负责,仅有少数的企业有专责独立的安全管理部门。
对於前述部门而言,当然也不乏有管理良好的企业体,但是因为总务或厂务部门在本质上比较属於服务部门,而安全管理部门是属於管制部门,若安全管理设於服务部门之下,当业务上职责有所抵触时,常常不免牺牲安全管理的需求,而成就服务的目的。因为安全管理常常会让人觉得「不方便」,更不是一个会得到很高「内部顾客满意度」的工作项目。
除了笔者之外,也有很多的专家们一再地强调一个管理行为的有效发生,必须是「人员」、「程序」和「科技」的结合。
好的管理应该是「大处著眼,小处著手。」也就是理论和实务兼具。风险威胁分析和弱点评估固然可以找外部顾问协助,但是真正落实管理还是要企业内部的人员才可以达成,因为管理的细节常常是胜败的关键。西谚有云∶「恶魔藏在细节之中!」(Evil in details!),就是这道理。
以人员管制为基本
举例而言,以实体及环境安全而言,除了实体防护设施外,最基本实现就是人员管制。一般所认为的人员管制是由门禁管理系统,也就是由读卡机、门禁卡和一些磁力锁、警报开关和门禁管理软体的可见设备所组成,让持卡人可以到被授权的区域。企业很容易找到安全系统整合商帮忙引进一套高科技的门禁设备,但是如何做好真正的人员管制,如何划分安全区域等级和配置门禁单位则很难假「外人」之手。更何况当企业自己不清楚什麽是自己的真正需求时,厂商当然希望装越多越好。笔者曾经看过某高科技业者因为对安全需求不清楚,放任厂商做所谓的「设计」,结果几乎每一道门都装设了读卡机和电锁再加上CCTV摄影,花了大把钞票,不但没有实效,还造成後来管理部门的维修和管理上的梦魇。
其实有效的人员管制的重点不全在设备(科技)上,而是在之前的授权动作(人事)和当下的管制动作以及事後的稽核行为(程序)上。
在人员管制方面,先要厘清人员的身份和工作执掌,来决定他们的通行权限。不论就经验或是研究报告,我们都知道内部人员是安全最大的威胁和挑战,因为有百分之七十以上的安全事件都是内部人员所为,可能是因为错误也有可能是出自刻意。
所以,清楚的人员管制才可以预防避免不必要的危害。另外,因为有规定,所以能知道什麽是正常,什麽是异常,也才可以做异常管理。
高科技企业除了正式员工以外,为了节省成本,以及灵活运用人力资源,在企业内出现的人员会有很多不同的身份类别∶如公司的非定期契约员工(正式)、定期契约员工(如约聘秘书、助理等)、人力派遣员工(约聘、临时或工读生)、契约厂商派遣驻厂员工(长期、短期的清洁人员、警卫保全人员、员工福利服务和办公室厂房设备维修人员等)、外部物流人员(邮差、快递、货运、送水、文具等)、专案施工厂商人员、顾问类(外部稽核、管理顾问等)人员和访客(一般访客、特别访客VIP)等。以上这些类别的人员其实都是一般高科技企业每天必须要处理的人员管制作业。
接下来就是看工作执掌,实体的区隔常常是在安全控管上「职能分工(Segregation of Duties)」的具体实现,除了避免不必要的人员影响该区域的工作,甚至造成失误外,也可以达成赋予该地区人员担负起安全责任的目的(Accountability)。毕竟,人人有责任,就是人人都没有责任。笔者就曾经利用实体环境安全的方法解决资讯系统端登入管制的问题。
看似简单的门禁管理其实还是有一些大学问在。管理重要的是要先「理」,再来「管」,所以就人员该如何授权,高科技企业必须要有一个有系统的定义和程序,来颁发门禁授权,以免过於繁复,严重影响正常运作;或是过於简单,以致於流於形式。更重要的,门禁授权除少数最高阶主管们外,其馀一律依职务分而与阶级无关,要利用权限的管制表现出公司注重安全层面的管理,进而养成员工对安全的概念。
以下提供实体及环境安全的体系设计架构,供大家参考。
实体及环境安全体系--- 设计架构
实体及环境安全体系的设计目的是∶防止因未经核准的进出,影响或损害到工作业务场所、资产和人员,这是属於执行面中的预防阶段。
应了解防护标的物的设施四周邻接地(环境)、设施外围、设施内部、设施内容物的风险特性。以设施四周邻接地环境)和外围而言∶如所处区域属性(如科技园区、轻工业区或商业区等)、人员成分和流动状况、犯罪率、犯罪种类、交通动线和瓶颈时间地段、夜间照明等等;以设施内部而言,要了解人员和进出货动线、区域分类等;就设施内容物而言,要了解业务性质、流程节点、资讯和紧要设备所在地等。
实体及环境安全计画的设计考量基础应包括∶ ?安全纵深配置(Security in Depth); ?防御线设计 (Lines of Defense) ?使用者特定需求(Specific Requirement); ?安全区级系统 (Security Zoning System); ?法令、设施及设备限制(Restrictions); ?出入点管制(Access Control); ?活动监测 (Surveillance); ?人员安全 (Safety); ?方便性 (Convenience)。
安全防护计画功能目标(Functional Objectives)∶
1. 两个管制目标∶Access & Egress Control(进出管制);Surveillance (活动监测)。 2. 两个设计思考∶Security in Depth (防御纵深);C.P.T.E.D. (Criminal Prevention Through Environmental Design。 3. 四个防卫元素(4D’s)∶ DETER (吓阻)、DETECT (侦测)、DELAY (延迟)、DENY (拒绝)。
高科技业其实和其他产业在安全管理设计的基本面上没有什麽不同,在安全警觉意识上甚至会比一般企业要高,但在组织设计、管理理念方法和各项资源配置可以再更缜密思考,配合己身的政策和组织设计来推行贯彻,以达到保护公司的资产不受到各种方式的威胁,使可能发生的事业损害降至最低,投资报酬及事业机会增至最大和确保公司事业的永续经营的目的。
a&s是国际知名展览公司——德国法兰克福展览集团旗下专业的自动化&安全生态服务平台,为智慧安防、智慧生活、智能交通、智能建筑、IT通讯&网络等从业者提供市场分析、技术资讯、方案评估、行业预测等,为读者搭建专业的行业交流平台。
粤公网安备 44030402000264号
