近年來隨著國內(nèi)研發(fā)能量與技術(shù)能力的提升，高科技產(chǎn)業(yè)產(chǎn)值不斷升高，占國內(nèi)生產(chǎn)毛額比例亦日益增加。臺灣高科技業(yè)發(fā)展方向從早期 PC、IC 至最近的光電產(chǎn)業(yè)，經(jīng)營型態(tài)也從早期的單純代工模式(OEM)走向設(shè)計代工(ODM)，或更進一步發(fā)展自有品牌，甚至跨上國際舞臺。

　　二十一世紀(jì)的今日，臺灣已是機械設(shè)備、電子代工及其它諸如技術(shù)紡織、農(nóng)漁技術(shù)養(yǎng)殖等產(chǎn)業(yè)大國，光是高科技產(chǎn)業(yè)於2003年的產(chǎn)值即占臺灣制造業(yè)產(chǎn)值高達六成的比重。

　　筆者多年前在國外差旅時就親眼在一幅介紹各國特色的地圖上看到臺灣。 不同於其他地方，如巴黎的凱旋門、紐約自由女神像，臺灣則是用PC來標(biāo)示，這多少可以看出外國人對我們臺灣的印象就是一個科技島。現(xiàn)代的國力就是經(jīng)濟力，而高科技業(yè)就是臺灣重要的經(jīng)濟力支柱。

　　技術(shù)的快速變化、多變的顧客需求與國際大廠的競爭，使高科技產(chǎn)業(yè)充滿高度不確定性。廠房設(shè)備過度集中，地震風(fēng)災(zāi)或斷電缺水也讓生產(chǎn)交貨的穩(wěn)定蒙受打擊。再加上專利權(quán)的爭戰(zhàn)和產(chǎn)業(yè)間諜的橫行，在在都讓高科技業(yè)者面臨嚴(yán)峻挑戰(zhàn)。由此，高科技業(yè)對安全管理的需求也較一般企業(yè)來的高與迫切。

　　安全管理始自 企業(yè)明確的安全政策

　　安全(Security)的定義就是「利用主動或被動的各式方法，來保護或保存一個環(huán)境，使其在組織內(nèi)或社會內(nèi)的活動以及追求目標(biāo)時可以不受干擾的進行。」在面臨眾多的事業(yè)挑戰(zhàn)時，一個良好的安全計畫與施行是不可或缺的。

　　一個良好企業(yè)安全管理始自於有一個明確的「企業(yè)安全政策」。在這企業(yè)安全政策中要揭示企業(yè)安全的宗旨。

　　企業(yè)安全管理的目的是∶「保護公司的資產(chǎn)不受到各種方式的威脅，使可能發(fā)生的事業(yè)損害降至最低，投資報酬及事業(yè)機會增至最大，和確保公司事業(yè)的永續(xù)經(jīng)營。」而其中的資產(chǎn)就包括有形的實體資產(chǎn)，如人員、廠房、設(shè)備、資財、金錢;和無形資產(chǎn)，如智慧資產(chǎn)和商譽。

　　一個完整的企業(yè)安全管理架構(gòu)包含∶ ?實體與環(huán)境安全(Physical &Environment Security); ?人事安全(Personnel Security); ?資訊安全(Information Security); ?緊急應(yīng)變計劃(Emergency Planning); ?企業(yè)安全稽核及事件調(diào)查(Security audit & Investigation); ?企業(yè)安全教育訓(xùn)練及宣導(dǎo)(Security Awareness Training, Education & romotion)。

　　高科技安全防護之特性

　　一般而言，高科技業(yè)在企業(yè)安全防護方面有以下需求特性∶ 1. 機器廠房設(shè)備高價，重置不易。 2. 生產(chǎn)流程精細(xì)緊湊，易受干擾。 3. 智慧資產(chǎn)影響競爭，保護不易。 為此，一個良好的企業(yè)安全管理必須要能針對前三點，找出己身企業(yè)的風(fēng)險弱點，再進行對策的擬定與實施。

　　管理細(xì)節(jié)決定勝敗

　　相較於高科技服務(wù)業(yè)(電信、網(wǎng)路服務(wù)等)，所謂的高科技制造業(yè)在安全管理所愿意和實際投下的資金都相當(dāng)?shù)某浞?，不過卻常存在對科技的迷信，僅愿意對安全科技設(shè)備裝置和系統(tǒng)進行大量投資，對於管理層面的設(shè)計和管理體系以及專業(yè)人力上則有加強的空間。

　　至於高科技服務(wù)業(yè)部分，因為主體主要是人和知識資訊所組成，除了特定場所(重要機房辦公室、電力設(shè)施、資通訊設(shè)備等)必須投資大量的設(shè)備外，其馀都是以在管理體系上加強為主。在設(shè)備需求相較少，但在管理體系軟體和專業(yè)人力上需求上反而較多。

　　筆者曾經(jīng)參觀過多家高科技企業(yè)，包含服務(wù)業(yè)和制造業(yè)，發(fā)現(xiàn)其中絕大部分的企業(yè)都將安全管理交由廠務(wù)或是總務(wù)來負(fù)責(zé)，僅有少數(shù)的企業(yè)有專責(zé)獨立的安全管理部門。

　　對於前述部門而言，當(dāng)然也不乏有管理良好的企業(yè)體，但是因為總務(wù)或廠務(wù)部門在本質(zhì)上比較屬於服務(wù)部門，而安全管理部門是屬於管制部門，若安全管理設(shè)於服務(wù)部門之下，當(dāng)業(yè)務(wù)上職責(zé)有所抵觸時，常常不免犧牲安全管理的需求，而成就服務(wù)的目的。因為安全管理常常會讓人覺得「不方便」，更不是一個會得到很高「內(nèi)部顧客滿意度」的工作項目。

　　除了筆者之外，也有很多的專家們一再地強調(diào)一個管理行為的有效發(fā)生，必須是「人員」、「程序」和「科技」的結(jié)合。

　　好的管理應(yīng)該是「大處著眼，小處著手?！挂簿褪抢碚摵蛯崉?wù)兼具。風(fēng)險威脅分析和弱點評估固然可以找外部顧問協(xié)助，但是真正落實管理還是要企業(yè)內(nèi)部的人員才可以達成，因為管理的細(xì)節(jié)常常是勝敗的關(guān)鍵。西諺有云∶「惡魔藏在細(xì)節(jié)之中!」(Evil in details!)，就是這道理。

　　以人員管制為基本

　　舉例而言，以實體及環(huán)境安全而言，除了實體防護設(shè)施外，最基本實現(xiàn)就是人員管制。一般所認(rèn)為的人員管制是由門禁管理系統(tǒng)，也就是由讀卡機、門禁卡和一些磁力鎖、警報開關(guān)和門禁管理軟體的可見設(shè)備所組成，讓持卡人可以到被授權(quán)的區(qū)域。企業(yè)很容易找到安全系統(tǒng)整合商幫忙引進一套高科技的門禁設(shè)備，但是如何做好真正的人員管制，如何劃分安全區(qū)域等級和配置門禁單位則很難假「外人」之手。更何況當(dāng)企業(yè)自己不清楚什麼是自己的真正需求時，廠商當(dāng)然希望裝越多越好。筆者曾經(jīng)看過某高科技業(yè)者因為對安全需求不清楚，放任廠商做所謂的「設(shè)計」，結(jié)果幾乎每一道門都裝設(shè)了讀卡機和電鎖再加上CCTV攝影，花了大把鈔票，不但沒有實效，還造成後來管理部門的維修和管理上的夢魘。

　　其實有效的人員管制的重點不全在設(shè)備(科技)上，而是在之前的授權(quán)動作(人事)和當(dāng)下的管制動作以及事後的稽核行為(程序)上。

　　在人員管制方面，先要厘清人員的身份和工作執(zhí)掌，來決定他們的通行權(quán)限。不論就經(jīng)驗或是研究報告，我們都知道內(nèi)部人員是安全最大的威脅和挑戰(zhàn)，因為有百分之七十以上的安全事件都是內(nèi)部人員所為，可能是因為錯誤也有可能是出自刻意。

　　所以，清楚的人員管制才可以預(yù)防避免不必要的危害。另外，因為有規(guī)定，所以能知道什麼是正常，什麼是異常，也才可以做異常管理。

　　高科技企業(yè)除了正式員工以外，為了節(jié)省成本，以及靈活運用人力資源，在企業(yè)內(nèi)出現(xiàn)的人員會有很多不同的身份類別∶如公司的非定期契約員工(正式)、定期契約員工(如約聘秘書、助理等)、人力派遣員工(約聘、臨時或工讀生)、契約廠商派遣駐廠員工(長期、短期的清潔人員、警衛(wèi)保全人員、員工福利服務(wù)和辦公室廠房設(shè)備維修人員等)、外部物流人員(郵差、快遞、貨運、送水、文具等)、專案施工廠商人員、顧問類(外部稽核、管理顧問等)人員和訪客(一般訪客、特別訪客VIP)等。以上這些類別的人員其實都是一般高科技企業(yè)每天必須要處理的人員管制作業(yè)。

　　接下來就是看工作執(zhí)掌，實體的區(qū)隔常常是在安全控管上「職能分工(Segregation of Duties)」的具體實現(xiàn)，除了避免不必要的人員影響該區(qū)域的工作，甚至造成失誤外，也可以達成賦予該地區(qū)人員擔(dān)負(fù)起安全責(zé)任的目的(Accountability)。畢竟，人人有責(zé)任，就是人人都沒有責(zé)任。筆者就曾經(jīng)利用實體環(huán)境安全的方法解決資訊系統(tǒng)端登入管制的問題。

　　看似簡單的門禁管理其實還是有一些大學(xué)問在。管理重要的是要先「理」，再來「管」，所以就人員該如何授權(quán)，高科技企業(yè)必須要有一個有系統(tǒng)的定義和程序，來頒發(fā)門禁授權(quán)，以免過於繁復(fù)，嚴(yán)重影響正常運作;或是過於簡單，以致於流於形式。更重要的，門禁授權(quán)除少數(shù)最高階主管們外，其馀一律依職務(wù)分而與階級無關(guān)，要利用權(quán)限的管制表現(xiàn)出公司注重安全層面的管理，進而養(yǎng)成員工對安全的概念。

　　以下提供實體及環(huán)境安全的體系設(shè)計架構(gòu)，供大家參考。

　　實體及環(huán)境安全體系--- 設(shè)計架構(gòu)

　　實體及環(huán)境安全體系的設(shè)計目的是∶防止因未經(jīng)核準(zhǔn)的進出，影響或損害到工作業(yè)務(wù)場所、資產(chǎn)和人員，這是屬於執(zhí)行面中的預(yù)防階段。

　　應(yīng)了解防護標(biāo)的物的設(shè)施四周鄰接地(環(huán)境)、設(shè)施外圍、設(shè)施內(nèi)部、設(shè)施內(nèi)容物的風(fēng)險特性。以設(shè)施四周鄰接地環(huán)境)和外圍而言∶如所處區(qū)域?qū)傩?如科技園區(qū)、輕工業(yè)區(qū)或商業(yè)區(qū)等)、人員成分和流動狀況、犯罪率、犯罪種類、交通動線和瓶頸時間地段、夜間照明等等;以設(shè)施內(nèi)部而言，要了解人員和進出貨動線、區(qū)域分類等;就設(shè)施內(nèi)容物而言，要了解業(yè)務(wù)性質(zhì)、流程節(jié)點、資訊和緊要設(shè)備所在地等。

　　實體及環(huán)境安全計畫的設(shè)計考量基礎(chǔ)應(yīng)包括∶ ?安全縱深配置(Security in Depth); ?防御線設(shè)計 (Lines of Defense) ?使用者特定需求(Specific Requirement); ?安全區(qū)級系統(tǒng) (Security Zoning System); ?法令、設(shè)施及設(shè)備限制(Restrictions); ?出入點管制(Access Control); ?活動監(jiān)測 (Surveillance); ?人員安全 (Safety); ?方便性 (Convenience)。

　　安全防護計畫功能目標(biāo)(Functional Objectives)∶

　　1. 兩個管制目標(biāo)∶Access & Egress Control(進出管制);Surveillance (活動監(jiān)測)。 2. 兩個設(shè)計思考∶Security in Depth (防御縱深);C.P.T.E.D. (Criminal Prevention Through Environmental Design。 3. 四個防衛(wèi)元素(4D’s)∶ DETER (嚇阻)、DETECT (偵測)、DELAY (延遲)、DENY (拒絕)。

　　高科技業(yè)其實和其他產(chǎn)業(yè)在安全管理設(shè)計的基本面上沒有什麼不同，在安全警覺意識上甚至?xí)纫话闫髽I(yè)要高，但在組織設(shè)計、管理理念方法和各項資源配置可以再更縝密思考，配合己身的政策和組織設(shè)計來推行貫徹，以達到保護公司的資產(chǎn)不受到各種方式的威脅，使可能發(fā)生的事業(yè)損害降至最低，投資報酬及事業(yè)機會增至最大和確保公司事業(yè)的永續(xù)經(jīng)營的目的。