請顧問　專業服務比口碑

文 / 梁玉容


網路的便捷加上e化的熱潮，許多企業為了因應外部競爭，以及提升營運效率，紛紛投入大筆資金並導入各式各樣的資訊系統。例如：有些企業從傳統的主機系統封閉環境，轉換成開放性系統架構；配合企業e化所建建置的ERP系統；滿足特定族群的電子商務24x７的全天候交易等等。如此多變的電子資訊環境，傳統內部控管方式已經無法滿足各企業的需求了。

企業e化後面臨的問題
資訊高度的e化，企業所承受的風險也越來越大。從電腦駭客入侵、營運機密外洩、各類型天然災害、資訊處理錯誤、內部員工利用科技舞弊，甚至各類型的電腦犯罪等等事件；天災人禍不斷，導致資料損毀或遺失，甚至造成企業運因而中止。如此鉅大的風險，企業主能承受得起嗎？


所謂資訊安全，並不是買了設備就可以高枕無憂。許多企業主仍有這樣的迷思，相信只要買足了像是防火牆、防毒軟體、入侵偵測….等等資安產品或設備，就可以做好資安，殊不知這些產品或設備最大極限也只能做好資安一小部分的防護；如果又只是一股腦的買，卻不知道如何使用，忽略建立一個良好的安全管理體系及控管機制。因此，經常有許多企業花了大筆的錢裝置了昂貴的設備、軟體後，不會用或不知道如何用。


資訊安全是很複雜的，技術是無法解決所有資安問題，安侯建業陳瑞祥表示，企業要做好資安，做好內部管理遠比做好設備技術面來得重要。內控、管理系統要做得好，也牽連到企業主管對資安的認知，若主管認為不重要，那麼由內部人員所造成的重大風險將永遠是企業最大致命傷。


為什麼要找顧問公司？
一般企業主都有這樣的想法，「將資訊安全的工作，交給資訊部門去處理就可以啊！」其實不然，大部份企業的MIS人員因為負責的工作過於繁雜，主要的工作像是維護每日資訊系統及網路連線的正常運作，例如系統的的管理維護及更新、使用者的困難排除等等，如果還要MIS部門挪出人力是有點困難；加上部分MIS人員經驗及專業的不足，就很難挑起這全方位的資訊安全重擔。


資訊安全是一項持續進行的工作，而不只是一個短期或是一次就可搞定的專案。另外資訊安全也不僅是與電腦系統有相關的領域而已，其實從最上層的政策擬定、職責的劃分與權責歸屬，到系統的存取權限，甚至像是意外事件的處理程序以及教育訓練等，都是資訊安全架構上不可獲缺的重要項目。


如此繁瑣卻又重要的管理流程，非MIS部門之權責，因此透過專業的顧問服務，除了可以解決人力不足的問題外，也可使資訊安全的工作，得以全面規劃並更加落實推行。


做好人員控管的重要性

資訊安全管理三要素：人（People）、流程（Process）與科技（Technology）。利用科技開發許多產品或策略，再建立流程來管理運作這些產品、策略，最後由人來執行；其中以人的問題是三個要素中最重要的，因為即使企業有再好的安全政策，如果人員控管沒有做好，不去落實執行，安全上還是有大漏洞在；根據國外統計，企業資訊安全問題，超過80%以上的比例是出自內賊。


建立資訊安全系統

資訊安全事件層出不窮，如何因應與面對，將是資安做能否做好的關鍵因素。如何做好資訊安全管理工作，BS7799是一可以做為參考的依據。BS7799是一套供全球依循的資訊安全控管標準，內容包含10大管理要項、36個執行目標和127種管制方式。BS7799主要目的就是為改善資訊安全管理系統品質的規範。建立資訊安全管理標準的優點，對企業而言：對內，可以改善企業資訊安全環境、降低資訊交易風險並提昇企業經營利潤；對外，增加消費者對企業之信心及滿意度，同時提昇企業競爭力。



四大會計師事務所等投入顧問服務市場
因企業需求朝向全面性防護架構發展，加上產品與技術顧問服務複雜性提高，專業服務需求將大幅成長。所以除了系統整合廠商及資安產品廠商外，四大傳統會計師事務所由過去對上市上櫃公司的電腦內部控制提供稽核服務到目前跨入資訊安全顧問服務，其間所累積對企業營運之相關管理經驗正是他們最大的優勢。


目前國內市場，無論是產品代理商或系統整合商，其實都有提供給客戶有關IT技術的諮詢服務，其中有業者將自己定位或朝向專業服務的提供者，像是精誠即是以提供IT技術整合的諮詢顧問；寛華則為資訊安全系統整合的諮詢顧問。除此之外，專業服務主要是提供客戶資訊安全評估、設計、稽核及導入相關管理系統等專業服務，並為企業提出最具成本效益的解決方案。



顧問服務群簡介
勤業

在資訊安全管理服務這一塊，勤業特別針對企業營運之安全需求考量，提供評估、規劃、導入與管理相關資訊安全機制之顧問服務，像是企業資訊安全架構之設計與導入服務（BS/ISO 17799建置）。據萬幼筠表示，建立一套真正有效的系統，對企業內部之安全管理才是重點所在。而導入BS7799的目的，是參考已有的國際標準，並因應實際需求及作業環境逐步建立，適合企業真正需求，再透過不斷的訓練與推動，讓安全的觀念融入日常作業中。萬幼筠表示，至於企業最後是否要通過認證已不重要，其間過程讓企業真正去落實行資訊安全，才是最大的收穫。


安侯建業

據陳瑞祥表示，顧問人員的品質是最重要的關鍵，所以安侯對人員的挑選及訓練非常的重視。同時市場對專業人力需求量大，以目前國內各家顧問具有相關技術背景及經驗的人不多，加上管理系統導入的時間要花上3到9個月的時間，仍難以全面落實到各企業單位。針對人才養成不易及不足的問題，安侯建業提供完整標準的教育訓練課程。


在安侯建業資訊安全教育訓練課程，涵蓋資訊安全管理與資訊安全技術兩方面，是企業及政府單位培育資訊安全主管(Information Security Officer)的訓練課程，主要任務是帶給企業管理人員正確的資訊安全觀念及最佳實務演練（Best Practices）。包括內部稽核人員、電腦稽核人員、資訊安全主管、網路安全人員、風險管理人員及其他對資訊安全與控制有興趣之管理人員或顧問。


普華資安

擁有管理長才及IT技術人才資源的普華資安，最引以為傲的地方是有其自己的工程師及Lab，所以在提供顧問服務之餘，除了像是一般系統的建置或訂定各項管理流程及策略之外，普華資安的工程師會針對客戶的實際需求先做資安產品的研究，並在自己的Lab完成實際系統之測試或設備的安裝，如此可以真正符合企業用戶的需求；同時在完成各項系統的建置或規劃後，還會提供持續性的後續服務。


致遠

以金融業為主力市場的致遠，在顧問服務部份不單與SI合作外，還提供完整的服務方案給客戶端。致遠以實際稽核的經驗及值得信賴的完整報表資料，加上來自SI擁有技術背景的服務團隊，深獲客戶信賴。服務團隊中分別具有以下認證資格－CISP(3人)；BS7799(5人)；CISA(電腦稽核：1人)；CheckPoint (2人)；RSA Secyrity（1人）；Sun Solaris（6人）；ISS(產品認證：2人)；CPA（會計師：1人）；CIA（內部稽核：1人）。


致遠除了提供顧問服務內容外，也代理資訊相關的稽核工具軟體，另外也引進Extreme Hacking的教育訓練課程做為顧問服務外之附加服務，而近期也將引進資訊安全的入口網站。


IBM

據IBM資訊服務部通資訊安全專業服務協理陳長榮表示，IBM在資安的服務包含諮詢服務、系統整合、產品建置及後續維護等四個面向。由於是不同公司其所提供的諮詢服務模式也有所不同，陳長榮表示IBM在諮詢服務部份會比較傾向扮演較實務的執行者（Practicer）的角色。IBM對企業用戶所提供的顧問服務，不僅提供各項評估、稽核或訂定策略的諮詢服務而已，若拿醫生看病的例子來說，IBM不僅會告訴病人的病歷，也會開藥方給病人；所以IBM會特別注重Practice並提供完整的解決方案給企業用戶。


寬華

許多的企業和組織建置了昂貴的資訊系統安全設置，但是缺乏整體的管理機制，結果一樣無法達成預期的安全目標。以IT技術專長的寬華提供資訊安全管理服務（Information Security Management Service, ISMS）幫助企業建立一套安全的控制措施。


由於多數企業對資訊安全風險沒有做好，而在ISMS的「風險量化評估與成本效益分析」，可讓身為資訊主管可以善盡告知資安風險的責任，讓企業主清楚明白企業所面臨的威脅與風險所導致的風險衝擊，而量化的數字則可強化資安的要，讓企業主花在資安的每一分錢都能發揮最高效益。


另外，為了協助企業組織建立良好的風險管理，寬華結合宏瞻資訊以及英國標準協會，組成資訊安全管理顧問服務團隊，提供更完整及專業的服務。


給企業用戶的建議
企業用戶應針對實際需求，將現有的IT設備及資安產品做好整合以達到有效的管理與運用，這部份可藉助IT技術諮詢服務；另外像是金融或電信等注重資安的企業用戶，由於業務不斷的擴增及新技術的引進所產生的新風險更加複雜，加上內部人員控管問題一直存在，則可透過專業的顧問服務來解決問題。


如何做好資安，安侯建業陳瑞祥建議企業用戶先做好資訊安全的評估，並做好內部的管理組織，當然最重要的還是企業本身的高階主管要全力支持，加上不斷的推動，如果再納入績效考核系統將更好。


如何尋找適合的顧問？勤業企業風險管理部協理萬幼筠表示，顧問的品質很重要，但在選擇顧問服務時是需要經過慎選的；其次企業本身要先評估需求面為何、要有什麼解決方案；然後再選擇適當的供應商，挑選產品或解決方案的顧問服務。


企業要做好資訊安全的工作，除了要做好資訊安全的各項風險評估外，高階主管更要全力及全面性的支持，同時內部的資安組織也必須建立好。如此，才能由上至下真正落實執行資安的各項機制，而資訊安全也自然可以越來越好。