許多企業(yè)面對咨詢公司的郵件安全建議，或是打算著手信息安全優(yōu)化的單位，必須要面臨的問題，除了要有良好的系統(tǒng)工具輔助外，明確管理模式與執(zhí)行單位是首要事項，因為許多好的方案往往因為沒有事前做好跨單位溝通，或是缺乏主導(dǎo)方強而有力的支持（通常是企業(yè)中較高度職權(quán)的人或單位），致使該方案胎死腹中無法執(zhí)行。這樣的例子在許多好的企業(yè)中是很常見的，除非受到了 ISO 27001 或企業(yè)內(nèi)部控制基本規(guī)范等標(biāo)準(zhǔn)要求，某些行業(yè)與企業(yè)因準(zhǔn)備上市受到了 SOX-404、證券行業(yè)信息隔離墻規(guī)范等要求，使得單位必需在要求的期限以前完成布屬與建置，否則一般光靠少數(shù)人（除非你就是老板）或IT單位，是無法搞好整個企業(yè)的信息安全的，所以從郵件安全的角度出發(fā)，必需有跨部門的配合，才能將該方案真正落實與展開，以下說明在獲得可靠及有力資源下，如何決定管理模式，且依據(jù)我輔導(dǎo)企業(yè)建置郵件安全系統(tǒng)的經(jīng)驗，與大家分享思路與方案。

郵件安全是每家企業(yè)必須重視，或是應(yīng)該被重視的事情，但所有的管理員都會面臨一樣的問題: 身為老板想做到較好控管，當(dāng)風(fēng)險處于可控前提下，如果能記錄留痕每個人的郵件以備不時之需是最好的，但是通常老板又擔(dān)心自己的郵件也在 IT人員監(jiān)控下，所以希望有這樣的工具，但又不希望 IT 人員能看到整家公司的機密。身為 IT 人員其實在有這樣的郵件歸檔系統(tǒng)后，也擔(dān)心自己的責(zé)任與壓力過大，不愿被老板猜忌，對此工作充滿擔(dān)心。因此良好的郵件安全系統(tǒng)，應(yīng)該有多權(quán)分立的概念，同時又可以靈活調(diào)整個人或跨部門權(quán)限，包含可以自動產(chǎn)生統(tǒng)計報表等，再進一部的安全性原則，應(yīng)該在開啟郵件內(nèi)容時，需通過兩人以上授權(quán)，才得以開啟查看該郵件內(nèi)容，并且所有的查看與調(diào)用的記錄，都必需留痕而且無法被刪除的。在制定信息安全管理流程時，可依 PDCA 的概念循環(huán)執(zhí)行與審視每個環(huán)節(jié)，才可以做到較好的安全管理流程規(guī)劃。下圖為信息安全管理循環(huán)的四大流程: 規(guī)劃(Plan)、執(zhí)行(Do) 、檢查(Check) 、行動(Action)。

當(dāng)確認(rèn)郵件管理必需被執(zhí)行，應(yīng)該思考管理模式，因為畢竟執(zhí)行單位是很重要的，當(dāng)系統(tǒng)導(dǎo)入后，還是有管理單位必需利用這套系統(tǒng)進行管理，在 Action 階段配合業(yè)務(wù)需求單位，進而慢慢完善管理環(huán)中的審計與安全問題。企業(yè)中是否有專門審核單位是第一個考慮問題，如在金融或證券行業(yè)，合規(guī)部通常就是該系統(tǒng)主要使用者，針對業(yè)務(wù)需求，合規(guī)部就會是主要的用戶，但對系統(tǒng)運維而言，又是合規(guī)部不必操心，且無需開放系統(tǒng)相關(guān)配置權(quán)限給到合規(guī)部，以滿足系統(tǒng)分權(quán)控管，一般在決定管理模式可視單位情形，分為以下兩種：

單人或由審計單位控管

 企業(yè)設(shè)有專門審計單位或已編制專職審核人員的企業(yè)。

 已有明確管理制度，一開始就討論好并制定策略，由審計需求單位宣導(dǎo)推行。

 企業(yè)大于2000人以上。

由各部門主管進行審核

企業(yè)無專職編制審計單位，或無法指定人員可作審核的企業(yè)。

一開始無法制定明確管理策略，正在制定或打算經(jīng)PDCA循環(huán)中逐步形成規(guī)則的企業(yè)。

企業(yè)小于1000人以下，且單部門不超過 100 人。

在這兩種模下各有優(yōu)缺點，分析如下:

利用已經(jīng)設(shè)計好的多權(quán)分立郵件審計系統(tǒng)，才能達(dá)到事半功倍的效果。守內(nèi)安郵件安全審計系統(tǒng)Mail SQR Expert 可以協(xié)助企業(yè)做好管理電子郵件安全，從企業(yè)所有郵件留痕，到聰明的郵件事前審計，協(xié)助單位在 PDCA 循環(huán)中逐步強化郵件安全策略，并落實到多權(quán)分立分管，真正有效為企業(yè)提供優(yōu)秀完整的安全解決方案。