歡迎登入資安人
若您還不是會員,請點選下方加入會員
忘記密碼
加入資安人會員
登入
新聞
觀點
專題
解決方案
活動
訂閱電子報
資安人粉絲團
聯絡我們
關於我們
合作詢問
隱私權政策
香港商法蘭克福展覽有限公司台灣傳媒分公司
110 台北市信義區市民大道六段288號8F
886-2-8729-1099
新聞
觀點
專題
解決方案
活動
訂閱電子報
登入
登入
訂閱電子報
新聞
觀點
專題
解決方案
活動
觀點
您現在位置 : 首頁 >
觀點
評估委外時機和廠商四大要點
2003 / 09 / 22
文 / 陳彥豪
資訊安全是一項專業全面性的工作,應包含企業整體營運的各個層面,而不是單一產品的採購安裝即能解決所有且不間斷發生的安全問題。資訊安全工作可視為一生命循環週期,經由此整個循環過程當中的不斷改善,累積經驗與技術,才能協助企業降低在資訊環境中所面臨的風險,並為企業創造出最大的利潤。在此筆者提出「零漏資訊安全管理規劃」(Zero-Gap Security Planning)來說明資訊安全工作的生命循環週期 (方法論)。
企業所面臨的困擾
由圖一可清楚看出管理工作在資訊安全循環週期中佔有很重要的地位,因為一切的網路安全建置規劃皆是為了達到資訊安全的管理。對大多數企業而言,網路安全產品建置規劃是很容易去推行的項目,因此很多企業都已建置了防火牆及入侵偵測系統等安全產品,但一說到資訊安全管理,卻常常帶給企業許多的困擾,現將其原因說明如下:
人員不足
一般企業的資訊人員編組中,原本就沒有資訊安全專職人員的編制,基於成本考量,企業往往也不願意再增加專職的資安人員,而是由一般資訊管理人員兼任。這樣的結果往往造成資訊管理人員身兼數樣工作,無法專注於資安事件的監控及事件的即時回應處置,並影響原本所負責之工作,導致工作品質下降。
專業知識及經驗不足
在資訊安全工作由一般管理人員兼任的情況下,往往缺乏資訊安全專業知識及經驗,面對安全產品所產生的事件報告,常常不知如何去解讀並做適當的處置,或是處理速度緩慢,造成安全事件擴大。
無法提供24x7的監控及事件回應
網路攻擊事件是沒有國界及時間的限制,因此資安事件的監控及回應應是全天候的進行,以便事件發生時能即時處理,將攻擊者立即阻擋在外。然而大多數企業無法做到此點,當管理人員隔日上班時,往往已對企業內部造成損害。
經驗無法累積傳承
資安事件的判斷及證據蒐集追蹤等,需要一定的專業經驗,這些經驗需要不斷從事安全工作累積而來,在非專職人員的制度下,一旦承辦人員調動,之前所累積的經驗往往沒有傳承下去,接手人員又需重新摸索,造成企業資源浪費。
為了解決企業所面臨的這些問題,資訊安全委外服務於是逐漸興起。目前在台灣資訊安全委外服務還在起步階段,但是在北美地區,資訊安全委外服務市場已日漸成熟,以下分享從事資訊安全委外服務之經驗。
何時該選擇委外
資訊安全委外服務在未來既然是一種趨勢,那麼企業何時該選擇委外呢?
維持企業競爭力
企業在資源有限的情況下,需要將資源做最佳的運用,專注於企業的核心業務以維持競爭力,此時即可將需要專業知識技能的資訊安全管理委外,藉由資安服務廠商的專業知識及經驗,有效協助企業保護資訊資產的完整性及可用性,讓企業得以專注於其核心業務的發展。
人力資源有效運用
前面提到過資訊安全的管理需要專職有經驗的人員,在增加專職人員會增加成本,而利用人員兼職資安工作又無法達到預期管理效果的情況下,資安委外將是有效運用人力資源的最佳選擇。
需要24x7的事件監控及處置回應
資安事件的監控和處置回應是資安管理中最需要專業處理的部分,而一般企業無法做到24x7的事件監控,藉由委外服務,企業可以節省大量人力以及教育訓練等資源,以最小的投資,達到最大的效益。
符合政府法令規章
企業為了達到政府法令規章的標準,例如目前行政院「國家資通安全會報」對分級列管機構要求建立資安監控中心SOC的規定,或是要符合HIPAA等標準,可將資安工作委由可信任的廠商專業代管,以減低企業資安建置成本並同時滿足法令要求。
評估資訊委外廠商的標準
在眾多的資安服務廠商中,要如何選擇才能符合企業的需求呢? 以下列出一些評估的標準以供參考。
可信賴的資安服務廠商
資訊安全管理委外要成功,首要條件必需是企業與委外廠商有良好的信任關係,通常在資安委外之前,企業與廠商已藉由其他專案建立一段信任關係。
資安服務廠商之商譽
廠商在業界的商譽將是企業選擇委外時的重要考量,具有良好商譽的廠商,越是重視客戶的需求,也越能幫客戶解決問題。
具有良好之商業夥伴關係
資安服務廠商應擁有與技術原廠,甚至其他資安服務廠商間良好的商業夥伴關係,以做為服務客戶時強大的技術支援後盾,快速反應客戶的需求。
專業即時的服務能力
資安事件的監控管理靠的是專業的技術經驗累積,才能在資安事件發生時,於最短時間內做出回應。因此廠商是否已擁有一定規模的服務提供經驗,以及服務提供團隊,將是企業選擇委外廠商時必需考量的部分。
藉由資安委外服務,企業除了更能專注於核心業務的發展,更能藉由委外廠商的專業,獲得資訊安全最先進的知識,這些知識對於改善資訊安全系統,提昇整體資訊安全的效能,有著難以估量的優勢。(本文作者現職為台灣優利系統公司資訊安全與網路事業部資深顧問)
最新活動
2025.07.18
2025 政府資安高峰論壇
2025.07.24
2025 中部製造業資安論壇
2025.07.09
AI應用下的資安風險
2025.07.10
防毒、EDR、MDR 到底差在哪?從真實攻擊情境看懂端點防護的導入路線圖
2025.07.17
AI仿真內容滲透日常,如何有效提升員工 系統「辨識力」
2025.07.18
零信任與網路安全架構
2025.07.18
『Silverfort 身份安全平台』與『SecurEnvoy Access Management 存取管理』網路研討會
2025.07.23
照過來👀 2025 ISFP 新創募資實戰系列課程 開跑囉🏃♂️~ 募資不求人!從財務內功到投資攻心術一次掌握~ 趕緊立即報名✌️
2025.09.05
從零開始學IT網路 – 5 天帶你掌握 IT 網路核心、拿下國際認證!
看更多活動
大家都在看
中國駭客組織「銀狐」假冒DeepSeek安裝程式 鎖定台灣進行網路間諜攻擊
Cloudflare率先預設封鎖AI爬蟲 網站擁有者可自主決定內容授權
駭客濫用PDF冒充微軟、DocuSign等品牌 回撥式釣魚攻擊激增
超過 200 個針對遊戲玩家和開發者的惡意 GitHub 程式庫攻擊活動曝光
勒索軟體攻擊手法升級:Python腳本結合Microsoft Teams釣魚成新威脅
資安人科技網
文章推薦
新型勒索軟體「Bert」鎖定醫療與科技業,跨國攻擊威脅升級
Amazon Prime Day購物季成詐騙溫床,逾千個惡意網域瞄準消費者
報告:不到三成企業具備了解API中敏感資料暴露情況的能力