IT 資產:不止是硬件清單
當談到「IT 資產管理」,不少人第一時間想到的,仍然是一份 Hardware List:有多少部手提電腦、平板、哪一年購買、目前由哪個部門保管。這種做法並不罕見,尤其在中小企與學校等未必設有專職 IT 團隊的機構更為常見。只是,一旦出現資料外洩、帳號被濫用或系統遭入侵,管理層需要回答的,已不僅是「有哪些裝置」,而是這些裝置和系統,究竟與哪些、人哪些資料,更重要的是有什麼業務和決策可能受影響。
「資產」早已不限於硬件與軟件授權,還包括處理及存儲的各類資料,尤其是與個人、客戶、學生或員工有關的資訊。能否看清設備、系統、資料與使用者之間的關聯,往往決定了機構在面對營運風險、監管要求以及社會期望時,是否具備基本的應對能力。
「資源有限」與「資產不清」,往往同時出現
不少學校以「預算有限」作為決策的起點,討論焦點多集中於如何在有限資源下引入新系統。相對而言,對於現有資產的結構與實際使用情況,則未必能投放同等程度的關注。例如,一間學校可能同時擁有不同年度採購的流動裝置,部分仍在教學中使用,部分長期存放於儲物空間,而當中的成績記錄或其他個人資料卻未必得到相應重視。
中小企的情況亦相似。管理層一方面感到 IT 預算緊絀,另一方面,實際運作中的系統往往分散在不同部門與項目之間:銷售團隊訂閱雲端推廣平台,營運部門仍在使用多年前「自家研發」的系統;部分舊系統仍保留對外連接,只因沒有人能確認是否仍有業務依賴其運作;甚至不同部門各自採用功能相近的系統,處理相同類型的工作。 在這種情況下,要準確回答機構擁有哪些重要資產、由誰負責、與哪些業務活動相關,並非易事。
當 Excel 清單變成管治盲點
對於自覺「資源有限」的機構而言,以 Excel 管理資產看似是一個合乎成本效益的選擇。許多機構的確亦以試算表記錄硬件清單,筆者亦不例外。然而,當這份清單成為唯一的資產管理工具時,隨之而來的風險往往被低估。
首先,清單多偏重硬件設備,而較少反映資料與帳號的實際情況。手提電腦與平板通常只會記錄機身編號與購買日期,但安裝了哪些程式、連接了多少雲端服務、存放了哪些個人或業務資料,往往欠缺系統性記錄。一旦發生資料外洩事件,要追溯受影響的資料範圍及相關人士,便顯得格外困難。
其次,資產經常被標記為屬於某部門,而沒有與使用者建立清晰關聯。在日常運作中,「屬於某課室」、「屬於某部門」或許已足夠,但在風險評估或調查事件時,機構需要了解的是:哪些人曾經或可能使用該設備,處理過哪些類型的資料,以及對哪些持份者可能造成影響。從管治角度看,這涉及的不僅是「物」的流向,更是「人」與資料之間的關係。
再者,舊裝置或帳號有時只被標註為「停用」,但並無相應程序確保資料已被妥善處理,帳號權限亦未必完全撤銷。多年之後,當相關設備仍可啟動、舊帳號仍可登入系統時,機構才發現原來這些資產從未被正確終結。風險並沒有消失,只是被暫時遺忘。
從設備清單到資產管理:最低可行框架
對未必擁有完整 IT 團隊的中小企和學校而言,立即全面採用國際標準、「與國際接軌」未必實際。更可行的做法,是先建立一套最低可行的資產管理框架(Minimum Viable Framework),作為日後逐步完善的基線。 這樣的框架可以簡約,但宜具備數項核心特徵。
第一,資產不應只停留在「有多少設備和系統」,而是要它們在處理甚麼資料。每一項關鍵資產,無論是裝置、業務系統還是雲端帳號,均應清楚列明與哪些資料相關,特別是有否涉及個人資料(無論屬於學生、客戶還是員工)。這有助在風險評估與事件通報時,迅速界定受影響的範圍,以及處理的優先次序。
第二,每一類重要資產都應對應一位清晰的負責人,而不是只寫「某部門」或交由 IT 處理。負責人不一定是技術人員,而是對該資產用途、相關資料及其風險有基本認知,並能在需要時作出適當判斷和通報的人。這把資產管理與實際業務連結起來,而不是停留在技術層面。
第三,資產的整個生命週期都應一目了然。從引入、使用直到退役,每一個階段都應有基本安排:引入時做好登記與分類,使用期間定期檢視,必要時調整權限或重新分配;退役時確保資料被妥善處理、帳號被關閉、硬件按既定程序報廢或重用。這不表示必須採用複雜系統,而是在流程設計上有清晰而一致的安排。
其實,許多機構已經在做上述某幾部分,只是未必把它們視為一套完整的資產管理框架。元素有意識地連接起來,往往已足以大幅降低風險,而不需要一開始便投放大量預算。
管理的焦點:從「物」回到「人」與「資料」
若資產管理的討論只停留在設備與成本,確實容易被視為行政工作。但當資料與使用者一併納入考慮時,便不難發現,這同時涉及風險管理。當裝置遺失或帳號被濫用時,管理層需要迅速回答:有哪些人可能受影響?所涉資料與哪些業務決策或流程相關?需要通報及溝通的對象?若無法回答這些問題,無論機構規模大小,都難言已建立起基本的管治能力。從這個角度出發,資產管理其實是一項以人為核心的工作:透過設備與系統的脈絡,理解機構與各類持份者之間的資料關係,進而在發展新服務或引入新技術時,作出更有根據的風險取捨。
給管理層的三條問題
對於自覺資源有限、又希望循序漸進改善的機構而言,資產管理不一定要由工具或系統開始,反而可以由幾條簡單而具啟發性的問題着手:
一. 機構是否能在合理時間內,列出所有處理個人資料的主要設備與系統,並說明各自相關的人與用途?
二. 現存的資產記錄(無論是Excel 或其他系統)中,是否清楚反映負責人與資料類型,還是只停留在硬件層面?
三. 裝置與系統退役時,是否存在一致而可追溯的處理程序,涵蓋資料清理、停止權限以及設備最終去向?
這些問題不僅影響機構在事故發生時的應變能力,也關乎日常決策是否建立在對自身資產狀況的充分理解之上。對任何希望穩健發展、又不願忽視風險與責任的機構而言,從設備走向資料、從物件回到人,已是資產管理在治理框架中不宜再被忽略的一環。
撰文:陳國俊(Arik Chan)
資訊安全顧問,長期關注企業在真實環境中如何安全、審慎地應用各種技術,並將資訊安全視為業務決策的一部分。擔任「數苗青少年慈善基金」教育顧問委員會主任,專注推動青少年網絡安全教育、數碼素養,關心人工智能對學習文化、社交行為以及政策討論方式所帶來的結構性改變。
