落實IT管理的技巧

陳欣玄 旭辰資訊總監，曾擔任天山儀器資深系統工程師、富達投顧資深技術專員

每家公司對於資產管理的需求與想法不一，這也將影響IT管理的成效，以及資訊安全管制能否更徹底實踐。旭辰資訊總監陳欣玄認為，公司的相關政策要先全面下達到各個部門，所有員工都必須先了解：這些保護與管制做法之所以實施，主要是以維繫公司的經營為主要考量，IT部門只是負責執行這些政策的人員。根據他以往協助導入的經驗，如果這個關係顛倒，只靠IT人員主導，再怎麼耳提面命、苦口婆心地規勸，都很難讓全公司的人心服口服，接受這些做法。

問：在你的觀察中，願意主動去定義IT資產的企業，很普遍嗎？
答：雖然我們以為ITIL這個議題已經炙手可熱一段時間，但願意這麼做的公司比例還是不夠高。

而且，在資產的分類上，每家的做法差異很大。有的公司也許在編列資產清單時，不會清查到這麼細。例如管理IT資產時，就可能經常會遇到一些困擾，例如個人電腦周邊的備品購入、汰換，就會對整組設備的管理造成干擾。

很多公司都會一次採購大量的硬體周邊作為備品，例如記憶體、硬碟、鍵盤、滑鼠等，一旦電腦故障，IT人員就可以從手邊直接把這些零件換上。問題在於，很可能當初整批購入時，並未將這些備品逐一標上資產條碼，使得企業在面對每臺電腦設備時，無法隨時掌握到裡面啟用的資產項目與數量，就算是規格完全一樣，實際上可能是經過好幾次變更的，有點像是產品的進銷存流程。

再加上零件總是陸陸續續在汰換，隨之又補入新的備品，一臺個人電腦的整體配備規格，很可能跟當初買進來時所登記的有出入。換句話說，當電腦每換一條記憶體，理應在原設備上增加一筆資產條碼，可是企業通常不會記錄到這麼細的項目。

正規的做法雖然繁瑣，還是得落實。你必須列出這些資產，產生對應的序號，才有辦法掌握這個資產到底變更的配備和相關規格，並且了解這個資產的使用歷程。

總之，新購、故障、汰換都是個人電腦生命周期的一環，如果不仔細記錄和編號，即使只有一臺設備也會非常複雜，因為即便同樣都搭配1GB記憶體、100GB硬碟，但實際上不一定和公司的資產與財務清冊相符。

問︰軟體的資產管理也很複雜？
答：簡單多了！要做好軟體的資產管理，我認為把這些軟體（授權）配置給那些部門或使用者，只關乎企業的決心。因為相較於硬體來說，軟體是更昂貴的，企業更應該注重是否有效利用。

有個例子很典型。由於使用者反應需要很多套AutoCAD，公司決定買25套，等到我們把系統導進去之後，透過軟體計量的方式才發現，有些電腦每天使用這套套裝軟體的時間不過十幾分鐘。買了25套，實際用起來卻只有一點點時間，一套AutoCAD價值不菲（編按：建議售價為145,000元（含稅）），於是形成了資產的浪費，後來他們決定改變做法，針對只是需要檢視檔案或以部份功能修改內容的使用者，建立一個公用區，讓指定權限的使用者才能登入、存取這套應用程式。

事實上，正因為在所有軟體合法性查核行動中，對AutoCAD授權的檢查算是非常積極的，導致該公司方面很在意軟體取得的正當性。雖然採購成本很高，然而由於採購前沒有搭配足夠的監控、計算機制，還是有可能因錯估用量而造成無謂花費。

問：如果要定義風險層級，似乎和稽核系統有關，而不是透過資產管理系統？
答：目前多半是從資產的「嚴重等級」予以分類。我們在協助中國某一家連鎖餐飲業導入系統時，像是POS機臺或炸鍋等，都算是該公司的「生財器具」，只要是這些設備報修的話，Help Desk系統就會將這些事件自動升級為Priority 1（優先處理，第一順位）。因為像 POS機臺故障時，前端根本沒辦法收帳，要依照資產的等級，控管優先次序。

我們在系統上其實原本就設有一些自定欄位，實際在Help Desk作業，曾經以這種方式運用在企業現場，讓工程師可以更快發覺異常，一旦有設備的等級升到Priority 1時，他們就會接到系統通知，趕快去處理。

問：USB設備與介面的控管，是目前企業最關切的嗎？
答：我認為，這應該算是最基本的控管措施，因為有太多資料可以經由這管道流出，況且不只是USB埠，PDA、手機都有儲存媒體，像是3.5G網卡，我們也得設法阻絕掉。只要能從個人電腦將資料匯出的設備、外部儲存設備，都必須阻止非法存取。接下來，MIS就要開始考量從網路、公司平時開放的正常聯外管道，再去針對這部份予以阻絕。

要處理這些問題，現在都有一些很好的解決方案，差別只在於公司要不要這麼做。我觀察到，一般遇到最大的問題，反而出在政策，也就是說，很多公司需要更明確地公告管制的措施，並且加以溝通。整理⊙李宗翰