研究發現

本研究引用多位學者的理論，並根據第五章的的訪談分析歸納出之導入 DLP 資料 外洩防護系統導入的關鍵因素如下：

1. 組織層面因素：

在高階主管支持，在此次的訪談中了解到高階主管的重視是影響整個系統導入成敗 的主要因素之一，原因是 DLP 資料外洩防護系統對於公司而言，是需要員工全面性的 參與和了解，公司的各項重要機密資料或者客戶資料，都有可能在透過任何一個員工而 洩漏出去，對公司而言是相當重要的政策，如果政策命令無法由上到下，就有可能導致 員工無法配合，或者不了解而產生抗拒導致整體性的失敗。

由於 DLP 資料外洩防護系統導入需要事先定義機密資料來源的位置，專案小組在 布署系統時需事先知道，如果沒有得到上級的授權或者相關資源的給予，可能會造成在 跨部門溝通時遇到某種程度上的阻疑，B 公司就是在這部分遇到其它使用單位因為對系 統的不了解，也沒接到政策命令，而發生不配合的情況，無法獲重要資料位置讓系統做 學習，直接影響了 DLP 資料外洩防護系統的產出效益，對整個專案而言佔有很大的影 響層面。

其它間接的影響，如高階主管沒有重視或者支持，可能無法給專案成員在時程上的 壓力或者責任，雖不一定會導致失敗，但會因為沒有定期的專案進度或者回報，在專案 建置時程上可能會有所延誤，專案成員們如沒有責任的分配或者定期的提供進度壓力，

有可能會造成責任推缷的情況，或者在建置以及系統操作學習上的心態及熟悉度降低，

導致上線目前標以及預期效益上莫大的落差。

73

另外特別發現公司文化也會間接影響導入的成敗，在任何一個資訊安全專案中，或 多或少都會影響或者接觸到員工的個人隱私，在此次的 B 公司個案中，由於上層主管對 系統導入後的員工反應和公司資訊政策相較之下，是比較在意使用者的抗拒程度的，最 後將部份功能變關閉或者與原應用的架構做異動，之後的結果就變成 DLP 系統導入的 不完全，與原來的預期目標不符。

2. 專案層面因素：

由於資訊安全系統的導入在技術以及專案面都是屬於較進階的，其需要有一定程度 的知識和經驗，所以對參與專案成員的遴選，必須是嫻熟於有實際接觸的資深工程或者 專案經理，且最好能在專案期間做好權責分配。因為這樣人員才能真正熟悉作業過程及 實際問題所在，全力協助專案之進行。

本研究所訪談的二個個案公司在專案成員方面都有不錯的知識以及對產品的認知，

所配合的廠商以及顧問團隊都是相同的，唯一不同的是責任上的分配，與對 DLP 系統 導入的成敗對公司未來發展影響的認知上有很大的差別，在 A 個案公司有成立專案團隊，

有清楚的共同的目標，不但分工也有責任上的分配，在整個建置過程中與系統學習上的 態度都對其建置的成功有極大的幫助。而對 B 公司的參與成員來說，此次的導入專案與 一般的系統無異，其心態上與責任感就有很大的差別。再者專案會議的規畫也很重要，

有計畫的排定與廠商和原廠開會，可以定期檢視進度以及提出目當前遇到的問題，是否 需要協助或者客制化應用等，都會影響專案建置時程以及妥善程度。

另外成員們的溝通能力上也會有所影響，前文所述，在導入系統時，在某些情況下 是需要跨部門協助的，A 公司是屬於傳統產業，不但一般員工很信任資訊單位，且其文 化上也是活潑親切，樂於相互了解，這點對於系統導入的協助與溝通上有很大的助幫助，

而 B 公司是科技產業，員工門在資訊科技上的認知較為深入，也因為如此對資訊單位的 態度上就較 A 公司為差，所以在配合程度上需要花費成員們很大的努力來說服或者上級 的授權才能達成共識，這也是後來 B 公司導入失敗的一個重要的因素。

3. 科技構面因素

硬體需求量和部署步驟和難度，是判斷 DLP 產品成熟度的一個關鍵指標。一台設 備和一台伺服器即可構成一個完整的方案，並允許加裝額外設備以提供延展性。理想狀 況下，一個 DLP 方案應可以當成一個整合式的方案進行部署，而非採用諸多點方案組 合而成。而容易使用是許多資訊系統導入成功的主要因素，複雜的的產品設計會使資訊 人員效率減低，例如需要多個複雜的設定和管理步驟，以及難以理解的界面，不僅增加 成本而且提高人為錯誤的可能性。設計良好的的產品應該可以透過一個整合性的友善

74

GUI 介面執行所有管理和政策設定工作，達到簡化管理，減少系統作業的所需時間，以 及降低人為不當的操作，而導至成效不彰。

所以在科技構面來說，本研究個案公司所導入的 DLP 資料外洩防護系統產品 Websense 公司，在相關技術上以及產成熟度都是屬於世界級的領導者，其系統的支援度 上非常的完整，其相容性以及在本次訪的個案公司軟硬體上的整合度都沒有出現太大的 問題以及阻礙。在教育訓練上的提供以及經驗上也都非常的豐富，針對客戶的客制化需 求也有提供付費的服務，所以這方面並沒有影響二個個案公司導入的問題。

其次由於本次專案建置，採用 Websense 提供的 DLP 資料外洩防護系統，其所要求 的軟硬體規格並不高，以目前企業的資訊基礎建設皆能符合，所以在本研究的二個個案 公司當中並沒有發生影響導入的狀況，系統的穩定度上也都非常良好。唯一需要考量的 是專案建置人員對企業內部系統的了解程度以及資訊安全方面的認知度。

在科技構面，其系統品質因素是影響導入成功的重要因素之一，DLP 資料外洩防護 系統其主要的作用就是幫公司保護重要的資料或者資訊外洩，在個案 A 公司當中，其較 成員較 B 公司成員熟悉操作，在政策制定以及流程都有方案，且因有事先公告所以參與 成員的配合度高，所以無論是閘道器端的監控以及端點的布署都很完整，最終在系統應 用程度上有不同的結果，當然在預期資料外洩防護的成效上就符合預期。

而 B 公司在，因為公司文化的差異，公司員工在抗拒程度上，以及執行面和策規畫 上都沒有一套標準，又加上布署 DLP 資料外洩防護系統的完整度較 A 公司差，因為無 法取得重要機密資料，只能套用通用政策範本，最後導致誤判率過高，輸出品質不符合 預期效益，高階管理者也害怕因為誤判率高，如果冒然的採用嚴謹的政策，有可能會影 響使用者的線上作業，更因為沒有責任劃分，所以更加沒有人願意去承擔出錯時的風險，

由於準確率的問題，無法有效偵測事件，最後導致系統閒置，只當成事件發生和稽核記 錄的工具，終究使系統導入失敗

4. 環境構面因素

在本次的研究個案訪談當中，環境構面的因素並沒有直接影響 DLP 資料外洩防護 系統導入的成敗，但會直接推動企業導入系統的積極度，例如個資法的通過，由於罰金 的提升以及比以往的法規多了舉證的義務等，如果目前企業沒有類以的資安系統，勢必 會造成其對 DLP 資料外洩防護系統的迫切性需求。

在科技基礎上，其複雜度及使用流程上並不像 CRM 或者 ERP 等系統，牽涉範圍那 麼廣大，以及對公司的營運和效率甚至是獲利上有著重大的影響，因為 DLP 資料外洩

75

防護系統，在分類上並不屬於公司的獲利策略之一。除了上述不同點外，其同樣的是，

成員們在這些特定的的領域裡一定要非常的熟悉，很多時候一件專案的成敗都是來自於 對事物的不了解以及忽視而導導失敗。

這次的訪談中 B 公司在 Windows AD 的基礎建設上較 A 公司為差，有間接影響在 DLP 系統在建置完整度的不同，因為 AD 沒有完全應用在公司上，最後無法透過統一的 派送機制把 DLP 資料外洩防護系統所提供的端點代理程式安裝在使用者的電腦上，造 成部份功能喪失。這也是日後要導入 DLP 資料外洩防護系統需求在事先規畫產品以及 建置策略需要特別留意的部份，另外不同公司所提供的產品建置需求有所不同，所以在 產品評估階段，建議把公司目前的科技基礎狀況與專業顧問做妥善的討論。