https://www.informationsecurity.com.tw/seminar/2021twcert/
https://www.informationsecurity.com.tw/seminar/2021twcert/

觀點

資訊作業委外發展趨勢

2003 / 09 / 29
資訊作業委外發展趨勢

文 / 陳怡良


在資訊產業逐漸走向分工化的發展之際,企業在成本與效益之橫量下,逐漸將專業性高且需耗費大量人力成本之資訊作業委託至專業廠商。而其實一般的政府機構就如同台灣的中小企
業,在資訊化的環境下所面臨的問題往往有下列幾點:


缺乏時效性


一般政府機構的資訊人員均非24小時輪值,往往發生問題時或許正是下班時間或是週末,無法立即處理。再者,當機構本身的系統或網路發生問題時,往往需要耗費大量時間將問題之根源找出,並再找出解決方式,但往往就時效性而言,並無法迅速解決此類問題。


專業性不足


一個資訊人員的工作經驗大多不是全方面的發展,受限於以往之工作經驗、在組織中所受到的相關訓練。而無法在所有的資訊問題上,皆能有適當的專業知識與工作經驗。


成本面考量


在部份的資訊作業內容並不需要真正需要投入額外之人力,以及工作專業的考量之下,同時公務人員的員額也不如以往之充裕,所以若要達成一定之目標,往往會造成成本上之浪費,在今日財政緊縮之情形下,實為不需投入之額外資源。


故從以上三點方向來評估政府機構之相關資訊作業,適度之資訊作業委外實為增加工作效率、減少成本支出之解決方案,亦可達成振興產業、精簡員額之雙重目的。

作業委外不等於責任委外
就目前政府機構之資通安全委外作業,尚屬於資訊安全管理體系(ISMS)委外之專案。此外,於明年起針對於資通安全監控與通報業務可能又有另一波的委外熱潮。在政府正全力加強國家資通安全之環境時,不可以誤解的是「委外作業=責任委外」之情形。


其實,資訊安全管理體系之建置,應與資通安全監控、安全通報做全盤之考量,以避免在完成資訊安全管理體系之建置完成後,又因為資通安全監控之資訊作業委外,而導致原先所設計之標準作業程序無法遵循,造成不必要之人力、物力或預算之浪費。在筆者前一陣子參與某政府機構所推行之資訊系統異地備援規劃時,在撰寫其標準作業程序時,需同時針對其主系統端、異地備援端做好全盤考量,以避免某一流程之疏失,導致異地備援機制之失效。


而正因為部份之資訊作業委外,溝通之方式與項目也會較以往無委外作業時較為增加,因此,絕不可因為將資訊作業委外,而輕率認為已由委外廠商負責管理,自身不需再做任何動作。若有此一想法,將造成委外作業之失效。同時,應有適當之演練機制,以確認資訊作業委外之流程是否存有遺漏或不足之部份,並予以適時補強。如此尚可落實真正發生資訊安全事件時,能夠有效地發揮委外作業之功能,並同時確保政府機構於資訊安全事件發生時,能有一有效之處理、解決及通報之作業方式。

資訊作業委外的考量
「落實、落實、還是落實」是將資訊安全管理體系委外,或是將資通安全監控、通報業務委外的唯一考量。


資訊安全管理體系就目前之制定標準為BS7799/CNS17800,而制定一個有效之資訊安全管理體系,絕非將這些所謂的國際資安標準或是國內的資安標準,配合所謂的標準作業流程範本加以制定,就可成為該組織的資訊安全管理體系。「風險」是考量資訊安全管理體系建置的出發點,若未能確實掌握組織內之資訊資產,並針對其評估風險之來源、種類,則未能確保是否所設計之資安管理體系可降低組織之資訊風險。因此在評選輔導廠商時,應認真考量其收集資訊資產之能力與風險評估之方式,以避免建置一考量組織整體性資訊安全管理體系時,卻淪為系統安全、網路強化之狹義資訊安全。進而購買不見得需要資訊安全產品,導致資源之浪費,而對於組織面、作業面之資訊安全管理未做妥善之規劃。


此外,針對於備援機制、或是資通安全監控之委外,則需做好溝通與管理之規劃,應於委外作業之規劃時,詳細做好整體性之作業程序規劃、雙方應負責之作業程序,以及溝通之連絡方式。同時,並應規劃定期之實地演練機制,以確保委外廠商卻能依據委外作業之規劃程序確實執行,並可於實地演練時發現流程之疏漏、人員不熟悉,或是因為組織調整、流程改變而導致當初規劃之作業程序無法適用之情形。如此,方可確保委外作業係可允當執行,並可達成當初規劃委外處理之成本與效益面考量。


稽核是不可或缺之環節
一個再為適當且有效的作業程序規劃,終將於組織調整、環境變更、流程改變、範圍增減時,而必須做適度之調整。惟一般之實際情況,卻往往對於標準作業程序之內容未做修訂,或是缺乏適當之演練方式導致因為人員之變動時未能熟悉相關之作業環節。故定期之稽核作業,將可避免因為上述各面向之改變,而導致委外作業未能依據相關之變動做適當之調整,同時也可加強組織內之人員及委外廠商之員工,能對於此一資訊作業委外有所熟悉,以避免發生真實之資訊安全事件時,能夠做好一有效而妥善之處理與復原程序。


委外作業絕非將範圍確定、預算確定,一切都交由委外廠商負責即可,應將委外廠商之作業程序視為組織內作業環節之一環。故建立適當之標準作業程序、演練機制與稽核程序均為缺一不可,如此才足以將委外作業之相關環節予以串連,達成委外作業之效果與目的。(本文作者為勤業眾信會計師事務所企業風險管理組副理)