因為我得掌管公司內與資訊相關的大小事,有件事總覺得不太舒服,在自我認知當中,總覺得公司內有關資訊設備的數量、授權或伺服器採用的種類,甚至有關一些資訊管制的權限及政策,應該是屬於公司內部的機密才是,為何總是會有些法人團體,或是別的委任公司想要獲取相關訊息。
從每年一次的xx會委外的資訊調查,到xx事務所的內控調查,全都想要取得相關的資料,我相信站在公司的立場,絕對有權限能夠不提供,因為非上市/櫃公司,應該有權不提供吧?甚至是上市/櫃公司,我想也有權控管相關的資訊。
除非是公司要進行某些ISO的認證(資訊類),得將公司內部的資訊統計資料一併奉上之外,老實說我真不知其它單位如此「主動」詢問這些資料的迫切性為何?瞭解產業動向?評估產業別的資訊預算?(當然有些更黑暗的想法不宜寫出...)
也許是我太過敏感,不過,這些看來跟自身好像無關痛癢的資訊,只要能掌握特定的訊息,還是能夠做出不少事,舉例來說:將你的名單轉賣給相關行銷公司,甚至能夠用獲取的資訊來刺探商業情報。
這一點讓我想到近年來相當猖獗的詐騙案件,外人對公司內部的狀況愈瞭解,想要藉此來行騙的機率就愈大,這就跟用社交工具來取得相關資料的手法一樣(網路釣魚、彩紅橋事件...等)
說了這麼多,我想要說的重點是:「究竟這些資料是誰的權責?」
我們真的有必要將這些資料,提供給第三方的單位知曉嗎?各何況,很多時候我們還不是直接對該機構,中間可能還多了某某徵信公司、某某經辦,在一個不太具備重視機密保護的流程中,誰又能負起資料洩密的風險。
舉個簡單點的例子,例:你透過網路向甲公司買東西,並留下個人的聯絡email,結果與甲公司有結盟關系的乙、丙、丁...等公司,都在「不經意」的狀況下得知你有這筆消費,下次有類似的產品想要促銷時,你的信箱中就會突然冒出各種名義的廣告信件。(其實這在金融保險業更常見...)
竟然如此,我們提供了這些資訊之後,對我們又有什麼好處呢?能夠更瞭解產業在資訊預算的分配?還是像xx普查一樣,讓某些機構能夠獲取足量的資訊,可以為我們發聲?至少到目前為止還沒發現過,還是我遺漏了些什麼?請知道的人分享一下心得吧!?
經過這幾次的調查之後,我漸漸發現似乎不是那麼一回事,甚至有些問題可以反推公司的營運狀況,例:資訊設備的支出佔公司總支出的多少百分比?(有需要這麼詳細嗎?去問國稅局會不會比較快...)
經過了這些往來的攻防之後,每當我在關鍵的問題上模糊其詞,對方的人員就會用假設性的問題來詢問,似乎只是為了能得到一個可交差的數據(但是要我親自回答)。更誇張的是,就算是每年來做調查的機構,還會問你今年與去年度這些名目的支出,是成長或衰減多少百分比?(這不是你們該做的事嗎?)
除了這些之外,就算是內控的資料,有必要交給僅負責少部份資料的委外公司嗎?還是說,這是他們用來評鑑一間公司值不值得接的標準之一?這部份我十分存疑,所以從現在開始,我決定了一件事。
「除非給我一個合理的解釋,否則我將採不合作的方式來面對」
說不定有人也曾經跟我一樣遇過相似的問題,不知你的做法又是什麼?還是誰能夠為這種看來十分不合理,卻又行之有年的情況,提供一份合理的回答,都歡迎你的留言或來信討論...
我是在加拿大的資訊產業工作,在工作上也會接到類似的"訪查"。
回覆刪除常常是對方在電話中提出有要事要和我公司IT主管聯繫。當問他的目的或他們是否認識,對方九成就開始顧左右而言他,接著必然會問"那你們公司是用什麼作業系統? 資料庫是用那個產品?"等等問題
現在碰上這些訪查,一律以簡單的"抱歉,這些資料我們不可能告訴你" 然後乾脆的掛電話,或請對方離開。省卻很多麻煩。當然,公司大頭完全支持這樣的做法。
Lawrence H.
回覆刪除您好,這樣子的查訪其實也相當惱人,不過公司大頭若是支持的話,基本上是可以放手去做
其實,我沒記錯的話,以前在軍中有看到類似的手法來作情報蒐密,或許也有人想依此學習,其實多得到一些資料,的確可以騙到不少資料,甚至在行銷或廣告的手法上,也是個好方法。
多謝你的分享,看來這些奇妙的事...天底下到那裡都一樣。