IBM週三（15日）發表了「企業資訊安全架構(Information Security Framework, ISF)」，以資訊安全能力參照模組、成熟度模組、及自我評估工具等三大架構，針對企業治理、隱私保護、降低威脅、交易與資料誠信、應用程式安全、身份識別與存取管理、實體安全與人員安全等八大安全議題進行分析評估，確保企業資訊安全程度能滿足內部營運及外部法規要求。

/news/2006/03/16/2244046476.jpg

台灣IBM公司整合資訊服務部經理陳俊昌表示，今日的企業普遍重視資訊安全防護，因電腦病毒而造成的損失已日漸減輕。但網路釣魚、垃圾郵件、惡意攻擊等網路犯罪威脅快速增加，縱使企業已採用如防火牆、入侵偵測系統、防毒軟體、資料加密等防護機制，仍難杜絕網路罪犯竊取企業機密資料。因此，IBM建議企業在規劃與建置資訊安全架構時，不僅要考慮業務需要及法規要求，並應針對各個資安環節進行分層管理，採取全面性的防禦措施，以降低因外部攻擊或內部人員疏失而帶來的資安威脅。

「資訊安全能力參照模組」乃針對企業治理、隱私保護、降低威脅、交易與資料誠信、應用程式安全、身份識別與存取管理、實體安全與人員安全等八大安全議題進行分析評估，逐一檢視並落實應有的安全原則。「成熟度模組」則提供了衡量安全能力的五個等級，企業可以此模組為基準，評量各層面的安全措施執行現況。此外，「自我評估工具」則藉由收集完整的安全相關資訊，及針對各種資安能力的安全決策，歸納整合出最合適的因應措施，以強化組織的安全能力。陳俊昌表示，IBM所建議的「企業資訊安全架構」是一套經過實證、可量化且可重複使用的流程與藍圖，可以簡化並加速企業資安規劃與部署的過程，降低相關成本，補足缺乏的安全技能，達到提升投資效益的目標。

陳俊昌也特別呼籲，企業應將「身份辨識管理 (Identity Management )」作為保護商業機密的第一道關卡；尤其對國內的高科技製造業、金融服務業及政府單位來說，規劃一套完整的身份管理生命週期極為重要，其中應包括身份驗證、使用者權限設定、存取控管等。企業組織可根據個別的部門等級、業務策略、應用程式或IT基礎架構等不同條件，切入身份管理生命週期在各個時點的運作。它可簡化企業組織進行身份管理作業時，所需涉入或整合的系統數目，並以自動化技術降低運作成本並提升效率，進而強化存取控管作業，同時改善使用者與IT管理人員兩造的生產力；更重要的是可以協助企業組織因應日益繁複的法令規範要求，提供更為穩固可靠的資產與服務，以滿足企業組織的資安需求。