近年來(lái)隨著國(guó)內(nèi)研發(fā)能量與技術(shù)能力的提升，高科技產(chǎn)業(yè)產(chǎn)值不斷升高，占國(guó)內(nèi)生產(chǎn)毛額比例亦日益增加。臺(tái)灣高科技業(yè)發(fā)展方向從早期 PC、IC 至最近的光電產(chǎn)業(yè)，經(jīng)營(yíng)型態(tài)也從早期的單純代工模式(OEM)走向設(shè)計(jì)代工(ODM)，或更進(jìn)一步發(fā)展自有品牌，甚至跨上國(guó)際舞臺(tái)。

　　二十一世紀(jì)的今日，臺(tái)灣已是機(jī)械設(shè)備、電子代工及其它諸如技術(shù)紡織、農(nóng)漁技術(shù)養(yǎng)殖等產(chǎn)業(yè)大國(guó)，光是高科技產(chǎn)業(yè)於2003年的產(chǎn)值即占臺(tái)灣制造業(yè)產(chǎn)值高達(dá)六成的比重。

　　筆者多年前在國(guó)外差旅時(shí)就親眼在一幅介紹各國(guó)特色的地圖上看到臺(tái)灣。 不同於其他地方，如巴黎的凱旋門(mén)、紐約自由女神像，臺(tái)灣則是用PC來(lái)標(biāo)示，這多少可以看出外國(guó)人對(duì)我們臺(tái)灣的印象就是一個(gè)科技島?，F(xiàn)代的國(guó)力就是經(jīng)濟(jì)力，而高科技業(yè)就是臺(tái)灣重要的經(jīng)濟(jì)力支柱。

　　技術(shù)的快速變化、多變的顧客需求與國(guó)際大廠(chǎng)的競(jìng)爭(zhēng)，使高科技產(chǎn)業(yè)充滿(mǎn)高度不確定性。廠(chǎng)房設(shè)備過(guò)度集中，地震風(fēng)災(zāi)或斷電缺水也讓生產(chǎn)交貨的穩(wěn)定蒙受打擊。再加上專(zhuān)利權(quán)的爭(zhēng)戰(zhàn)和產(chǎn)業(yè)間諜的橫行，在在都讓高科技業(yè)者面臨嚴(yán)峻挑戰(zhàn)。由此，高科技業(yè)對(duì)安全管理的需求也較一般企業(yè)來(lái)的高與迫切。

　　安全管理始自 企業(yè)明確的安全政策

　　安全(Security)的定義就是「利用主動(dòng)或被動(dòng)的各式方法，來(lái)保護(hù)或保存一個(gè)環(huán)境，使其在組織內(nèi)或社會(huì)內(nèi)的活動(dòng)以及追求目標(biāo)時(shí)可以不受干擾的進(jìn)行。」在面臨眾多的事業(yè)挑戰(zhàn)時(shí)，一個(gè)良好的安全計(jì)畫(huà)與施行是不可或缺的。

　　一個(gè)良好企業(yè)安全管理始自於有一個(gè)明確的「企業(yè)安全政策」。在這企業(yè)安全政策中要揭示企業(yè)安全的宗旨。

　　企業(yè)安全管理的目的是∶「保護(hù)公司的資產(chǎn)不受到各種方式的威脅，使可能發(fā)生的事業(yè)損害降至最低，投資報(bào)酬及事業(yè)機(jī)會(huì)增至最大，和確保公司事業(yè)的永續(xù)經(jīng)營(yíng)。」而其中的資產(chǎn)就包括有形的實(shí)體資產(chǎn)，如人員、廠(chǎng)房、設(shè)備、資財(cái)、金錢(qián);和無(wú)形資產(chǎn)，如智慧資產(chǎn)和商譽(yù)。

　　一個(gè)完整的企業(yè)安全管理架構(gòu)包含∶ ?實(shí)體與環(huán)境安全(Physical &Environment Security); ?人事安全(Personnel Security); ?資訊安全(Information Security); ?緊急應(yīng)變計(jì)劃(Emergency Planning); ?企業(yè)安全稽核及事件調(diào)查(Security audit & Investigation); ?企業(yè)安全教育訓(xùn)練及宣導(dǎo)(Security Awareness Training, Education & romotion)。

　　高科技安全防護(hù)之特性

　　一般而言，高科技業(yè)在企業(yè)安全防護(hù)方面有以下需求特性∶ 1. 機(jī)器廠(chǎng)房設(shè)備高價(jià)，重置不易。 2. 生產(chǎn)流程精細(xì)緊湊，易受干擾。 3. 智慧資產(chǎn)影響競(jìng)爭(zhēng)，保護(hù)不易。 為此，一個(gè)良好的企業(yè)安全管理必須要能針對(duì)前三點(diǎn)，找出己身企業(yè)的風(fēng)險(xiǎn)弱點(diǎn)，再進(jìn)行對(duì)策的擬定與實(shí)施。

　　管理細(xì)節(jié)決定勝敗

　　相較於高科技服務(wù)業(yè)(電信、網(wǎng)路服務(wù)等)，所謂的高科技制造業(yè)在安全管理所愿意和實(shí)際投下的資金都相當(dāng)?shù)某浞?，不過(guò)卻常存在對(duì)科技的迷信，僅愿意對(duì)安全科技設(shè)備裝置和系統(tǒng)進(jìn)行大量投資，對(duì)於管理層面的設(shè)計(jì)和管理體系以及專(zhuān)業(yè)人力上則有加強(qiáng)的空間。

　　至於高科技服務(wù)業(yè)部分，因?yàn)橹黧w主要是人和知識(shí)資訊所組成，除了特定場(chǎng)所(重要機(jī)房辦公室、電力設(shè)施、資通訊設(shè)備等)必須投資大量的設(shè)備外，其馀都是以在管理體系上加強(qiáng)為主。在設(shè)備需求相較少，但在管理體系軟體和專(zhuān)業(yè)人力上需求上反而較多。

　　筆者曾經(jīng)參觀(guān)過(guò)多家高科技企業(yè)，包含服務(wù)業(yè)和制造業(yè)，發(fā)現(xiàn)其中絕大部分的企業(yè)都將安全管理交由廠(chǎng)務(wù)或是總務(wù)來(lái)負(fù)責(zé)，僅有少數(shù)的企業(yè)有專(zhuān)責(zé)獨(dú)立的安全管理部門(mén)。

　　對(duì)於前述部門(mén)而言，當(dāng)然也不乏有管理良好的企業(yè)體，但是因?yàn)榭倓?wù)或廠(chǎng)務(wù)部門(mén)在本質(zhì)上比較屬於服務(wù)部門(mén)，而安全管理部門(mén)是屬於管制部門(mén)，若安全管理設(shè)於服務(wù)部門(mén)之下，當(dāng)業(yè)務(wù)上職責(zé)有所抵觸時(shí)，常常不免犧牲安全管理的需求，而成就服務(wù)的目的。因?yàn)榘踩芾沓３?huì)讓人覺(jué)得「不方便」，更不是一個(gè)會(huì)得到很高「內(nèi)部顧客滿(mǎn)意度」的工作項(xiàng)目。

　　除了筆者之外，也有很多的專(zhuān)家們一再地強(qiáng)調(diào)一個(gè)管理行為的有效發(fā)生，必須是「人員」、「程序」和「科技」的結(jié)合。

　　好的管理應(yīng)該是「大處著眼，小處著手?！挂簿褪抢碚摵蛯?shí)務(wù)兼具。風(fēng)險(xiǎn)威脅分析和弱點(diǎn)評(píng)估固然可以找外部顧問(wèn)協(xié)助，但是真正落實(shí)管理還是要企業(yè)內(nèi)部的人員才可以達(dá)成，因?yàn)楣芾淼募?xì)節(jié)常常是勝敗的關(guān)鍵。西諺有云∶「惡魔藏在細(xì)節(jié)之中!」(Evil in details!)，就是這道理。

　　以人員管制為基本

　　舉例而言，以實(shí)體及環(huán)境安全而言，除了實(shí)體防護(hù)設(shè)施外，最基本實(shí)現(xiàn)就是人員管制。一般所認(rèn)為的人員管制是由門(mén)禁管理系統(tǒng)，也就是由讀卡機(jī)、門(mén)禁卡和一些磁力鎖、警報(bào)開(kāi)關(guān)和門(mén)禁管理軟體的可見(jiàn)設(shè)備所組成，讓持卡人可以到被授權(quán)的區(qū)域。企業(yè)很容易找到安全系統(tǒng)整合商幫忙引進(jìn)一套高科技的門(mén)禁設(shè)備，但是如何做好真正的人員管制，如何劃分安全區(qū)域等級(jí)和配置門(mén)禁單位則很難假「外人」之手。更何況當(dāng)企業(yè)自己不清楚什麼是自己的真正需求時(shí)，廠(chǎng)商當(dāng)然希望裝越多越好。筆者曾經(jīng)看過(guò)某高科技業(yè)者因?yàn)閷?duì)安全需求不清楚，放任廠(chǎng)商做所謂的「設(shè)計(jì)」，結(jié)果幾乎每一道門(mén)都裝設(shè)了讀卡機(jī)和電鎖再加上CCTV攝影，花了大把鈔票，不但沒(méi)有實(shí)效，還造成後來(lái)管理部門(mén)的維修和管理上的夢(mèng)魘。

　　其實(shí)有效的人員管制的重點(diǎn)不全在設(shè)備(科技)上，而是在之前的授權(quán)動(dòng)作(人事)和當(dāng)下的管制動(dòng)作以及事後的稽核行為(程序)上。

　　在人員管制方面，先要厘清人員的身份和工作執(zhí)掌，來(lái)決定他們的通行權(quán)限。不論就經(jīng)驗(yàn)或是研究報(bào)告，我們都知道內(nèi)部人員是安全最大的威脅和挑戰(zhàn)，因?yàn)橛邪俜种呤陨系陌踩录际莾?nèi)部人員所為，可能是因?yàn)殄e(cuò)誤也有可能是出自刻意。

　　所以，清楚的人員管制才可以預(yù)防避免不必要的危害。另外，因?yàn)橛幸?guī)定，所以能知道什麼是正常，什麼是異常，也才可以做異常管理。

　　高科技企業(yè)除了正式員工以外，為了節(jié)省成本，以及靈活運(yùn)用人力資源，在企業(yè)內(nèi)出現(xiàn)的人員會(huì)有很多不同的身份類(lèi)別∶如公司的非定期契約員工(正式)、定期契約員工(如約聘秘書(shū)、助理等)、人力派遣員工(約聘、臨時(shí)或工讀生)、契約廠(chǎng)商派遣駐廠(chǎng)員工(長(zhǎng)期、短期的清潔人員、警衛(wèi)保全人員、員工福利服務(wù)和辦公室廠(chǎng)房設(shè)備維修人員等)、外部物流人員(郵差、快遞、貨運(yùn)、送水、文具等)、專(zhuān)案施工廠(chǎng)商人員、顧問(wèn)類(lèi)(外部稽核、管理顧問(wèn)等)人員和訪(fǎng)客(一般訪(fǎng)客、特別訪(fǎng)客VIP)等。以上這些類(lèi)別的人員其實(shí)都是一般高科技企業(yè)每天必須要處理的人員管制作業(yè)。

　　接下來(lái)就是看工作執(zhí)掌，實(shí)體的區(qū)隔常常是在安全控管上「職能分工(Segregation of Duties)」的具體實(shí)現(xiàn)，除了避免不必要的人員影響該區(qū)域的工作，甚至造成失誤外，也可以達(dá)成賦予該地區(qū)人員擔(dān)負(fù)起安全責(zé)任的目的(Accountability)。畢竟，人人有責(zé)任，就是人人都沒(méi)有責(zé)任。筆者就曾經(jīng)利用實(shí)體環(huán)境安全的方法解決資訊系統(tǒng)端登入管制的問(wèn)題。

　　看似簡(jiǎn)單的門(mén)禁管理其實(shí)還是有一些大學(xué)問(wèn)在。管理重要的是要先「理」，再來(lái)「管」，所以就人員該如何授權(quán)，高科技企業(yè)必須要有一個(gè)有系統(tǒng)的定義和程序，來(lái)頒發(fā)門(mén)禁授權(quán)，以免過(guò)於繁復(fù)，嚴(yán)重影響正常運(yùn)作;或是過(guò)於簡(jiǎn)單，以致於流於形式。更重要的，門(mén)禁授權(quán)除少數(shù)最高階主管們外，其馀一律依職務(wù)分而與階級(jí)無(wú)關(guān)，要利用權(quán)限的管制表現(xiàn)出公司注重安全層面的管理，進(jìn)而養(yǎng)成員工對(duì)安全的概念。

　　以下提供實(shí)體及環(huán)境安全的體系設(shè)計(jì)架構(gòu)，供大家參考。

　　實(shí)體及環(huán)境安全體系--- 設(shè)計(jì)架構(gòu)

　　實(shí)體及環(huán)境安全體系的設(shè)計(jì)目的是∶防止因未經(jīng)核準(zhǔn)的進(jìn)出，影響或損害到工作業(yè)務(wù)場(chǎng)所、資產(chǎn)和人員，這是屬於執(zhí)行面中的預(yù)防階段。

　　應(yīng)了解防護(hù)標(biāo)的物的設(shè)施四周鄰接地(環(huán)境)、設(shè)施外圍、設(shè)施內(nèi)部、設(shè)施內(nèi)容物的風(fēng)險(xiǎn)特性。以設(shè)施四周鄰接地環(huán)境)和外圍而言∶如所處區(qū)域?qū)傩?如科技園區(qū)、輕工業(yè)區(qū)或商業(yè)區(qū)等)、人員成分和流動(dòng)狀況、犯罪率、犯罪種類(lèi)、交通動(dòng)線(xiàn)和瓶頸時(shí)間地段、夜間照明等等;以設(shè)施內(nèi)部而言，要了解人員和進(jìn)出貨動(dòng)線(xiàn)、區(qū)域分類(lèi)等;就設(shè)施內(nèi)容物而言，要了解業(yè)務(wù)性質(zhì)、流程節(jié)點(diǎn)、資訊和緊要設(shè)備所在地等。

　　實(shí)體及環(huán)境安全計(jì)畫(huà)的設(shè)計(jì)考量基礎(chǔ)應(yīng)包括∶ ?安全縱深配置(Security in Depth); ?防御線(xiàn)設(shè)計(jì) (Lines of Defense) ?使用者特定需求(Specific Requirement); ?安全區(qū)級(jí)系統(tǒng) (Security Zoning System); ?法令、設(shè)施及設(shè)備限制(Restrictions); ?出入點(diǎn)管制(Access Control); ?活動(dòng)監(jiān)測(cè) (Surveillance); ?人員安全 (Safety); ?方便性 (Convenience)。

　　安全防護(hù)計(jì)畫(huà)功能目標(biāo)(Functional Objectives)∶

　　1. 兩個(gè)管制目標(biāo)∶Access & Egress Control(進(jìn)出管制);Surveillance (活動(dòng)監(jiān)測(cè))。 2. 兩個(gè)設(shè)計(jì)思考∶Security in Depth (防御縱深);C.P.T.E.D. (Criminal Prevention Through Environmental Design。 3. 四個(gè)防衛(wèi)元素(4D’s)∶ DETER (嚇阻)、DETECT (偵測(cè))、DELAY (延遲)、DENY (拒絕)。

　　高科技業(yè)其實(shí)和其他產(chǎn)業(yè)在安全管理設(shè)計(jì)的基本面上沒(méi)有什麼不同，在安全警覺(jué)意識(shí)上甚至?xí)纫话闫髽I(yè)要高，但在組織設(shè)計(jì)、管理理念方法和各項(xiàng)資源配置可以再更縝密思考，配合己身的政策和組織設(shè)計(jì)來(lái)推行貫徹，以達(dá)到保護(hù)公司的資產(chǎn)不受到各種方式的威脅，使可能發(fā)生的事業(yè)損害降至最低，投資報(bào)酬及事業(yè)機(jī)會(huì)增至最大和確保公司事業(yè)的永續(xù)經(jīng)營(yíng)的目的。