预先防范

　　审慎了解资料外泄的问题，若企业只是暂时布署VPN或者尚在试用阶段，一旦紧急事件发生，试用版防范层级将不堪负荷。

　　大家一想到信息安全防护容易错估以为要先导入防毒，但其实不是。防制资料外泄和防毒的角度不一样，防毒是不能漏掉任何一个可能性的东西，而防制资料外泄是一种行为、疑虑，它也许是不小心，也有可能是刻意。往往企业在安装防制资料外泄的设备时，企业老板不会让员工知道。因为，如果你是正常的使用者，你做了某些可疑性行为，顶多这样有疑虑的行为被log下来窃取资料意图，有可能你只是粗心或不小心。但很少企业会告诉员工有做防止内部员工窃取资料外泄的防范，因为一旦告知，也难免是在变相的促使，「有意图和目的的内部窃取者」用更极端的手法，窃取企业内部资料。

　　在担心任何突发状况的爆发导致商誉受损，或是使公司无法正常营运或机密资料被偷。这三个盘子要怎么转，要怎么转也要看盘子的质地。企业遇到此议题，应该要做哪些评估，会因各产业有不同的需求和步骤。但毫无疑虑的是，在家上班而使用到的远端存取技术在未来是一大趋势，防止未经授权接入是一个重要课题，可考虑导入网络准入控制设备(NAC),如振宏信息研发的网内安NetManager网络准入控制网关，提供给网管人员一个易懂易用的管理平台，不仅可以依据所设定的用户权力而允许或拒绝其存取网络资源，并可进一步限制其运用的网络资源额度。经由网内安NetManager的控管，使用者可以共享资源却又可以免除一人有难、系统瘫痪的困境，让资源共享的初衷美意得以充分落实。企业便需要一个预先防范的作法。

　　企业做预先防范规划时，会因商业模式的不同和产业不同，导致营运思维和策略的改变。但普遍都会考量到以下层面：

１． 职前教育。

２． 清楚告诉员工智慧资产的重要性。

３． 客户资料外泄造成企业商誉损坏。

４． 注意每个员工是否都听得懂你在讲什么。

５． 资安教育训练。

６． 资料移动外泄对企业和个人所造成的影响。　

７． 企业政策宣告，明定问题与权责。

紧急应变措施

　　由于社会总体行为改变，远端存取被企业普遍应用于公司重要机密资料管理的使用，企业与员工之间的健全默契，在商业模式、营运思维、策略手段三个角度中，都应有ROI评估。张志渊分析，多数企业主都想要让员工精简化，人数越来越少但要每个人的产值越来越高。就算一位老板逼员工24小时都在工作确实提升生产力，但透过无线网络让企业资料在移动时，相关可能碰到的紧急风险，若没有被算在ROI内作分析依据，一样会摔了其中一个盘子！

　　紧急应变措施必须要有严格的工具，预先假设网络上的每个人都是坏人。各个企业环境生态不同，应找出最容易资料外泄的热点，在突发状况发生时，采取平衡的机制，让伤害降到最低。

专家分析，从企业管理角度来看，H1N1事件发生，企业让员工在家上班却要防止资料外泄，难有所谓的标准处理程序(SOP)。而是必须要在平衡的概念上，选择如何做好风险管理的平衡作法：

第一步：确认资产价值是什么，衡量的内容包括产品、员工、主体。

第二步：针对资产因灾难发生会有何风险，评估风险这就和信息安全有关了。

第三步：提出配套措施无法完全消失全部的风险，仅能降低风险。

例如从100到50，透过什么机制可以理解风险程度？这样的风险管理值企业能不能接受？有哪些潜在的低风险管理机制？

第四步：假若没法接受该风险值就delete，如果可以承担的风险，就针对该风险做追踪与管理。

第五步：紧急应变是针对各企业主做量身的平衡评估，没有100%的绝对。只有可能在某个情况下提出将整体风险值降至企业可接受，企业在了解有哪些无可避免的低风险之后，有效并有系统了解漏洞在哪？如何解决。　

换言之，小丑被迫登台转三盘的戏码，还是得归纳在一个平衡机制上。如何让每场表演完美结束，在在都考验企业主预先筹备的洞悉力与应变机制的平衡感了！