在推動企業永續發展與數位轉型的過程中,許多企業已逐漸意識到「資安」早已不再只是IT部門的責任,而是關乎整體營運穩定、ESG治理、甚至企業信譽與永續命脈的重要環節。特別是在人力資源系統(HR系統)中,常儲存大量員工個資、薪資、考勤與敏感文件,一旦發生資安漏洞,後果將不堪設想。
文/104人資學院
你是否也聽過各種企業、甚至公家單位,因系統廠商的資安漏洞造成金錢或資料損失的案例?104人力銀行資安長孫明功表示,資安失守不僅會癱瘓系統,更可能影響企業信譽與經營命脈。尤其在人資系統中,一旦個資外洩,員工信任蕩然無存,企業形象也將大受打擊。因此,選擇一套具備強大資安防護能力的人資系統,已成為企業不得不重視的關鍵決策。
很多企業都會認為,「雲端」因為要和其他人共享,較容易出現資安漏洞。相較之下,把「地端」實體主機放在企業內部,由企業自己管理,則較安全。但事實上並非如此,資安漏洞會出現與否,是取決於資訊基礎架構、安全防護措施等能力。因此,無論是選擇雲端或地端,都是需要確認廠商是否具備強大資安防護能力。
破除迷思!「雲端」和「地端」一樣安全
許多人誤以為地端系統比雲端更安全,其實從資安角度來看,雲端與地端並無絕對高下之分,真正關鍵在於是否採用一致的資安標準與長期的風險評估機制。雲端系統若導入資安隔離、防護措施與合約明確保障,同樣可達到高標準的保護,且具有擴充性與彈性。
以時下常見的「分散式阻斷服務(DDoS)攻擊」為例,透過大量的網路流量,使目標伺服器或周遭基礎設施不堪負荷,進而阻斷目標伺服器、服務或網路的正常流量。但透過網路系統服務處,可設下基本防護,過濾網路流量,加上雲端防火牆,如同警衛一樣保護系統。
另一方面,地端系統的初期建置成本較高,但是隨著時間拉長,地端系統的維運成本則比雲端更低。而且一般而言地端軟體可客製化程度更高,資料儲存在地端,遭受網路攻擊的機率相較降低許多。
企業若要二擇一,可以從是否有IT資安部門、是否有機房、營運預算、客製需求、系統是否有對外服務需求(若對外則防護機制須更高),來評估到底要使用何種系統。一般而言,中小企業通常採用雲端,而中大型企業若配置有IT、資安部門,則可評估使用地端軟體。
| 系統形式 | 地端建置軟體 | 雲端軟體(分為公有雲及私有雲) |
|---|---|---|
| 特點 | 系統建置在公司內部之硬體設備,利用網路區隔,可在公司內部網路獨立運作。 | 隨時隨地遠端存取、即時更新、彈性調整容量和資源。 |
| 系統架構 | 伺服器由企業自行管理,若IT、資安、機房部門建置完善,資料洩漏風險較低 。 | 無需機房與設備維護。以104為例,採用國際領導品牌AWS,資安機制領先業界 |
| 整合與介接 | 開放客製與跨系統介接 ,適合中大型企業客製使用 | ♦︎若為公有雲,較無法客製與介接; ♦︎若為雲代管(私有雲),可選擇客製,並開放API及SSO串接各大系統 |
| 收費方式 | 多為買斷形式。依照需求,104人資系統使用人數甚至可無上限。 | ♦︎若為公有雲,多為訂閱形式,依照人頭數收費; ♦︎若為雲代管(私有雲),訂閱、買斷形式皆可,依照規模收費 |
| 適合規模 | 中大型企業,組織架構複雜的集團式企業 | ♦︎若為公有雲,適合 100 人以下,人事規則簡易的中小型企業; ♦︎雲代管(私有雲)則適合100人以上,人事管理複雜的中大型企業 |
| 104全方位解決方案 | 104 HR Max人資管理系統 | 104企業大師雲端人資系統 (公有雲) 104 HR Max人資管理系統 (雲代管-私有雲) |
一旦發生資安攻擊事件時,地端系統由企業IT資安部門負責處理,反之,雲端系統則通常是雲端供應商來處理。由雲端供應商負責維運的好處是,一旦出現問題,透過即時通報值班人員,可以馬上處理問題,而地端系統由企業IT部門進行維運,遇到下班時間、假日,就容易產生空窗期,加大資安風險。
而且,駭客攻擊型態日新月異,如果沒有隨時關注,很有可能在新型態攻擊出現時漏掉情資。倘若採用雲端服務,雲端供應商通常都會加入相關組織、隨時關注駭客最新消息,使客戶對應最新型態的攻擊手段擁有更好的防護機制。
在駭客攻擊越趨複雜化的現在,倘若面對駭客攻擊沒有準備良好的防護機制,會造成資安風險增加。使用雲端服務,可在雲端供應商協助下,建立良好的防護機制,當出現資安攻擊事件,可在最短時間找出是誰入侵並予以反制、排除問題,審視防護機制以防駭客再次攻擊,成為系統安全不穩定的因素。
104不漏接最新駭客資訊、擁有多項認證
104作為全台最大的人力銀行暨系統平台,自建資安團隊多達30人,不僅提供弱點情資,協助修補系統漏洞,各種服務皆依照國際資安標準開發及維運,無論雲端、地端都獲得完善保護。
104資訊科技不論雲端系統或是地端系統,開發流程均遵照ISO指引,並定期更新證照,也經過英國標準協會(BSI)嚴格審核,更擁有多項認證,如ISO27001資訊科技—安全技術—資訊安全管理系統標準、ISO29100資訊安全技術及隱私框架標準、MAS行動應用App基本資安標章、美國國家標準與技術研究所提出的NIST資安框架,技術能量領先業界。
這些優勢,是104資訊科技能在去年底台灣企業永續獎勇奪「資訊安全領袖獎」肯定的主要原因。無論是大型集團,或是中小企業想打造資安防護網,104資訊科技提供各種客製化雲端和地端解決方案,供客戶打造資安的銅牆鐵壁。
資訊安全,並非成本負擔,而是企業韌性經營的保險。選對資安到位的人資系統,不僅是對員工個資的尊重,更是企業在ESG治理中「G」(Governance,治理)的具體實踐。104提醒所有企業主與HR夥伴:不要等出事才來重視資安,因為一旦資料出走,信任與品牌就回不來了。
【高規格資料安全 值得信賴的104人資系統】
100人以上首選雲代管模組化的HR Max全方位人資系統
100人以下首選SaaS標準公有雲的企業大師雲端人資系統
