企业安全管理的六大方向

    信息安全（Information Security）、紧急应变计划（Emergency Planning）、企业安全稽核及事件调查（Security Audit＆Investigation）、企业安全教育训练及宣导（Security Awareness Training , Education & Promotion）是企业安全管理的六大方向，其中，前三者是企业安全管理的主轴，后者则是支持前三者的支柱。
1.实体与环境安全：
      实体安全的重点在于防止未经核准的进出，影响或损害工作业务场所、资产和人员。环境安全则由实体安全扩大出来，意指企业在选择营业所在地必须特别评估周遭环境的安全，例如治安是否良好、水电是否充足。实体与环境安全包含进出管制（Access & Egress Control）、活动监测管制（Surveillance Control）两个管制目标，以及吓阻（Deter）、侦测（Detect）、延迟（Delay）与拒绝（Deny）四个防卫手段；
     实体与环境安全常用设备及方法包含：墙、篱笆、铁丝网等实体防御 （Physical Barriers）、涵盖照明与防御功能在内的灯光（Lighting）、囊括警卫、锁、钥匙在内的门禁管制系统（Access Control System）、CCTV等活动监测系统（Surveillance System）与警报系统 (Alarm System)。
Detection sensors, Actuators, Signalers, etc
2.人事安全：
    重点在于降低因内部或外部人员不当行为所产生的风险。徐子文表示，人事安全是企业安全管理中最基本也最重要的部分，他建议企业必须进行新进人员、职务敏感或担任重要职务人员的人事背景查核，尤其是重要的职务务必进行分工，避免全由一人负责。此外，「人情」的包袱也是必须避免的，ISO17799信息安全规范(ISMS)就规定系统的开发者与系统操作者必须身处二个不同地点的办公室，以避免「见面三分情」的情况发生。徐子文强调，安全意识的形成相当重要，因此企业必须进行人员教育训练与宣导，否则装设再多的摄影机、监视器也是枉然。
3.信息安全：
    信息安全的重点在于保护信息及其支持处理设备、系统和网络的机密性（Confidentiality）、完整性（Integrity）和可获得性（Availability）不受到各种方式的威胁，使可能发生的事业损害降至最低，确保企业的永续经营；例如，程序设计师写完程序必须向企业公开原始码、企业Data Center必须进行资料异地备援...等等都是基于保护企业信息安全的考量。
    徐子文强调，信息安全涵盖范围相当广，并非仅指网际网络，也绝非只是防火墙，因为信息安全必须以人事、实体与环境安全为基础，所有的科技都以协助安全管理政策为目的，否则科技只是一个产品，他指出，在全国信息安全会议或是全国资通安全会议上，大家都不再完全以技术为焦点，而相当注重管理，他举例，当计算机为了信息安全的缘故装上防火墙，却摆在人员进进出出的大门口，如何称得上安全？徐子文表示，信息安全涵盖实体保护层（Physical Barriers）、逻辑保护层（Logical Barriers）、资料转换处理&储存（DataTransfor-mation & Storage），领域相当广，重视信息安全，等于关照了各项安全，对企业安全管理实有相当大助益。ISO17799 信息安全管理系统即指出信息安全控制目标包括：Policy（拟定企业安全政策；企业安全政策必须与企业经营目标一致）Organization（明确规范安全工作由谁负责，国外很多企业即成立了安全部门，尤其是美国）Assets Classification & Management（了解公司资产，以了解要保护的有哪些，值得投入多少费用）Personal Security（人事安全）Physical & Environmental Security（实体安全）Communications & Operations Management（通讯设备管理）Access Control（指逻辑保护层，例如Password）System Development & Maintenance（例如程序设计师须向企业公开原始码）Business Continuity Management（例如紧急应变计划）Compliance（列出须须遵循的法律，例如台湾的个人数据管理法、营业秘密法，甚至国外的法律都会影响台湾，也必须注意）
4.紧急应变计划：
    对人为或天然的灾害预作准备以降低其对事业所带来的负面影响。美国以联邦灾害防治署进行协调合作工作，我国最大的紧急应变计划中心则为消防署。
5.企业安全稽核及事件调查：
    企业内部稽核工作原本的设计仅包含财务部分，但是企业营运不仅包含财务部分，因此财务之外的稽核工作多交由安全部门进行。此部份的重点在于提供企业安全状态、安全危害事件的真实信息给企业管理阶层作为参考或采取必要行动。
6. 企业安全教育训练及宣导：
    企业安全警觉意识必须深植人心，此部份的重点在于提升所有员工对企业现存的安全威胁和顾虑的了解及关心，并且使其有能力在日常工作上支持公司的企业安全政策。企业安全的观念需要各种管理方式落实在所有员工心中，以形成企业文化；才能在急速变迁的外在环境中，保护企业资产完整，确保企业能够永续经营。