顧問，能幫你做什麼？

將資訊安全的工作交由資訊部門去處理就可以了呀，為什麼需要資訊安全顧問，顧問究竟可以幫我做些什麼？」您可能也有這樣的疑慮，就讓本文來提供解答。

為什麼需要請資訊安全顧問？
當然大部份的企業基於成本考量會這麼想：「將資訊安全的工作交由資訊部門去處理就可以了呀，因為都是資訊、電腦相關的工作啊！」其實這樣的觀念並不是很正確，因為資訊部門主要是負責維護每日資訊系統及網路連線的正常運作，例如系統的管理維護及更新、使用者的困難排除等，以支援企業在商業交易上的運作。在這些日常工作之下，其實資訊部門並沒有相當的人力及適當的專業知識技能推動及維謢資訊安全這樣的重擔。




資訊安全是一項持續進行的程序，而不只是一個短期或一次就可以完成的專案。企業可能對資訊安全的認知存有部份偏差，以為資訊安全領域只是與資訊電腦系統相關而已，其實它是一項企業支援性的服務，從最上層之政策的制定、職責的劃分與歸屬，到下層之人員的進出管制、系統的存取權限，甚至於意外事故處理程序，資訊安全教育訓練等，都是資訊安全架構上不可或缺的重要項目。而這些項目並不是全部都能夠由資訊部門獨力完成，因此資訊安全部門的存在有其必要性。基於這樣的考量，資訊安全委外服務便有其存在的價值，再加上企業非常重視投資報酬率（ROI；Return
on Investment），因此資訊安全委外服務便是最佳的解決方案。




在採用資訊安全委外服務下，企業可以不需要建置內部完整的資訊安全部門，而只需要配置一位資訊安全官（CSO；Chief
Security Officer），所有與資訊安全相關的政策制定及對外聯繫皆由他來主導及溝通，顧問公司則提供及維護所有資訊安全相關服務；這樣的方式不僅對企業而言在投資成本上將會有顯著的改善，而且也使資訊安全工作得以落實推行。



顧問如何協助企業作資訊安全檢視或建議？
企業的資訊安全風險在經過縝密的診斷與評估後，企業應從務實的角度來落實評估後所制定出來的資訊安全規範。一般資訊安全顧問會以一系列專業的資訊安全解決方案為企業作規劃並建置整體資訊安全的架構，以確保企業資訊風險降至最低。接下來為大家介紹資訊安全架構的生命週期：




1.測試評估（Assessment）

針對企業整體的資訊系統基礎架構進行全面性的安全評估測試，以辨認資訊系統架構上潛在的弱點及威脅。

2.架構設計（Design）

安全架構設計為資訊安全生命週期中十分重要的一環，主要以資訊安全業界的標準為基礎所設計出一份適當且有效率的安全設定規範，並且包含各項標準程序的制訂以及對現行的架構進行安全方面的改善。

3.部署建置（Implementation）

依前一步驟所設計出的安全架構進行部署建置。在此階段要有專業技術性的資訊安全顧問全程參與建置。

4.管理維護（Maintenance）

有效、持續地管理及監控以確保系統在其預定的功能下正常運作，同時亦可以監看並偵測，當意外狀況發生時可以迅速反應。

5.教育訓練（Education）

教育訓練的持續實施可以將資訊安全的觀念延伸到企業中的各個不同層級，而且專業技術及熟練程度也會隨著持續性的教育訓練而日益提昇。





一般資訊安全顧問會以這樣的生命週期來替企業進行資訊安全架構的評估及建置，以幫助企業提昇員工對資訊安全的認知及推動部門間對資訊安全政策的落實。


落實正確資訊安全觀念
資訊安全管理其實是一門很深的學問，所牽涉的範圍十分廣泛，不如一般人所認為的只是和電腦網路系統相關的方面，它涵蓋的範圍從單純防火牆設定，到複雜的人員管理，可以說任何大小事都會有安全層面上的考量。舉個簡單的例子來說明：父母都會很自然地告訴自己的小孩，不可以把家中的鑰匙交給陌生人或和別人共用，因為這樣壞人會進到家中，是很危險的。同樣的我們所期待的資訊安全也是這樣的觀念，如果有一天大家都很自然地對自己的密碼或認證的資訊非常重視，並好好保管，不會輕易和別人分享或採用簡單易猜的密碼，那時候就是我們所謂真正的資訊安全時代，而唯一能達到那個境界的有效作法就是要正確地將資訊安全觀念根深蒂固地傳達到每個人的心中。




（本文作者任職於顧問公司）