IBM周三（15日）发表了「企业信息安全架构(Information Security Framework, ISF)」，以信息安全能力参照模块、成熟度模块、及自我评估工具等三大架构，针对企业治理、隐私保护、降低威胁、交易与数据诚信、应用程序安全、身份识别与存取管理、实体安全与人员安全等八大安全议题进行分析评估，确保企业信息安全程度能满足内部营运及外部法规要求。

/news/2006/03/16/2244046476.jpg

台湾IBM公司整合信息服务部经理陈俊昌表示，今日的企业普遍重视信息安全防护，因计算机病毒而造成的损失已日渐减轻。但网络钓鱼、垃圾邮件、恶意攻击等网络犯罪威胁快速增加，纵使企业已采用如防火墙、入侵检测系统、防病毒软件、数据加密等防护机制，仍难杜绝网络罪犯窃取企业机密数据。因此，IBM建议企业在规划与建置信息安全架构时，不仅要考虑业务需要及法规要求，并应针对各个资安环节进行分层管理，采取全面性的防御措施，以降低因外部攻击或内部人员疏失而带来的资安威胁。

「信息安全能力参照模块」乃针对企业治理、隐私保护、降低威胁、交易与数据诚信、应用程序安全、身份识别与存取管理、实体安全与人员安全等八大安全议题进行分析评估，逐一检视并落实应有的安全原则。「成熟度模块」则提供了衡量安全能力的五个等级，企业可以此模块为基准，评量各层面的安全措施执行现况。此外，「自我评估工具」则藉由收集完整的安全相关信息，及针对各种资安能力的安全决策，归纳整合出最合适的因应措施，以强化组织的安全能力。陈俊昌表示，IBM所建议的「企业信息安全架构」是一套经过实证、可量化且可重复使用的流程与蓝图，可以简化并加速企业资安规划与部署的过程，降低相关成本，补足缺乏的安全技能，达到提升投资效益的目标。

陈俊昌也特别呼吁，企业应将「身份辨识管理 (Identity Management )」作为保护商业机密的第一道关卡；尤其对国内的高科技制造业、金融服务业及政府单位来说，规划一套完整的身份管理生命周期极为重要，其中应包括身份验证、用户权力设定、存取控管等。企业组织可根据个别的部门等级、业务策略、应用程序或IT基础架构等不同条件，切入身份管理生命周期在各个时点的运作。它可简化企业组织进行身份管理作业时，所需涉入或整合的系统数目，并以自动化技术降低运作成本并提升效率，进而强化存取控管作业，同时改善用户与IT管理人员两造的生产力；更重要的是可以协助企业组织因应日益繁复的法令规范要求，提供更为稳固可靠的资产与服务，以满足企业组织的资安需求。