隨著資訊戰逐漸白熱化,政府資安工作需要拉高到國家安全的思維,過去協助政府機關進行資安監控的國家資通安全會報技術服務中心,自今年1月1日起已轉型為資安專案管理辦公室(SPMO),未來政府機關的一線資安監控將由民間資安服務業者負責,技服中心將以二線監控為主,將能量運用於重大資安事件的協調。同時,技服中心也正準備將相關SOC監控等資安服務具體標準化並納入台銀共同供應契約,預計在今年12月底前政府機關一線SOC服務將陸續釋出,爾後就可直接上共同供應契約網站下單採購資安服務。
國家資通安全會報技術服務中心主任劉培文日前於「2013亞太資安論壇」發表演說指出,技術服務中心成立12年來負責資安事件通報應變、監控、相關規劃與推廣,近期資安情報分享系統(G-ISAC)也已串連起教育體系、五大ISP業者。由於資安防護策略需要兼具深度、廣度、速度,因此技服中心轉型為SPMO,並專注於二線情蒐分析,未來一線SOC廠商必須將事件資訊回傳給二線技服,技服也將與業者聯防,提供資訊讓SOC廠商即時進行事件處理。
目前技服中心規劃六項資安服務為共同供應契約品項,包括資安健檢服務、SOC服務(入門、進階、高階三種)、資安緊急事故處理服務、弱點掃描、滲透測試、社交工程郵件測試等。技服將制訂服務等級與計價基準、供應商評估基準,並建立資安服務人員認證制度,希望讓政府資安委外作業合理化,並帶動產業發展。但中央機關若對於長期性的資安監控服務要採取公開招標,技服也會提供採購、技術上的諮詢服務或RFP。
SI資安顧問指出,過去政府資安服務標案由於採購法的限制,存在許多問題,包括許多資安服務也被看做是設備附帶的無償服務。這樣的改變立意很好,但一旦資安服務標準化,在供應商評估能力指標的定義上,許多細節可能很難被公平量化,例如人員的年資經驗的認定或人數等。
台灣長久以來是駭客練兵場,也擁有相對資安技術服務能量,若資安服務產業能藉此被重視並得到正向發展,更能吸引未來人才的投入。
技服SPMO優先推動事項三階段圖
(圖片來源:技服中心)
相關文章:
電子商務:個資保護、防詐騙是未來重點
2大個資外洩案例 看企業該如何舉證
2013 資安展會後報導系列1~~個資法與資安攻擊 驅動資料保護需求成長
2013 資安展會後報導系列2~~雲端/行動新興應用 創造新的資安需求