觀點

如何評選資安委外服務商?

2003 / 11 / 14
如何評選資安委外服務商?

文/李盈德


資訊風險管理議題,隨著全球安全事件的層出不窮與資訊化深度的與日俱增而再次受到重視,在資訊風險管理需求的日新月異與組織追求核心業務成長的平衡下,無論在政府機關行之有年的委外策略,或企業追求成本降低的經營目標下,資訊安全委外服務於焉成形。然而,資訊安全的委外,不同於其他管理層面或是資訊化的委外,它某種程度是將組織最後的一道防線交由外部廠商固守,如何擬定適當的委外策略,並評選適當的資訊安全供應商,便成為組織重要的一道課題。

掌握委外服務特性
資訊安全的委外服務,依據需求之差異,粗略可以分為以下兩個構面展開委外服務需求特性:


資訊安全管理建構委外

包含資訊安全管理系統與資訊安全稽核委外兩大類,此部份服務的重點在於透過外部顧問協助,建立組織之資訊安全運作制度,以及落實相關制度之查核,確保風險管理體系的運作。這種類型的委外服務,至少必須考量兩個特性:


1.從組織營運面出發:整體安全制度建立的目的,在於協助組織從營運上的需求,辨識出核心的業務與相關作業流程的風險,進而建立一個有效銜接制度、作業與資訊作業的完整體系。


2.分級管理:安全的議題,永遠跟便利相衝突,風險管理的目標並不是消滅風險,而在以成本效益最高的前提下,控制風險到可忍受範圍內,於是相關制度的設計,應該依據資訊資產對於核心業務的重要性分級,進而分級分配資源,才能建立風險管理的評估指標,並達成最大綜效。


技術服務委外

包含整體安全環境之防護規劃、建置,資訊網路之保全(Security Operation Center, SOC)、滲透測試與弱點掃描等。這種類型的委外服務,至少也必須考量兩個特性:


1.評估安全需求之特性:資訊安全技術服務需要委外前,必須先回歸到資訊安全控制機密性、可用性及完整性的三個構面,考量組織的安全需求的特性是這三個構面的哪幾項?一般而言,可以委外的服務應屬於可用性與完整性的需求,例如,異地備援中心、網際網路服務的攻擊應變,而牽涉機密性,如ERP、CRM系統之資料保全,則適合委外建置,自行維護。


2.以安全政策為依歸:技術面的防護需求,最好源自於制度面的風險控制目標,也就是回歸到依據各種資訊環境的重要性等級不同,分級部署防護工具、界定委外保全之服務水準 (Service Level)。例如,ERP、SCM系統與OA系統的安全等級不同,對於能夠承受的停機時間就不相同,因此在規劃安全防護時,SCM、ERP系統需考量異地備援,而OA可能只需異地備份即可;同樣的,在防止網路入侵或者違規存取時,SCM、ERP系統可能需要採取一週七天、一天24小時(7*24)的全天候監控,以及一小時內復原的緊急應變計劃,而OA系統,可能只需要一週五天的監控與隔日復原的應變計劃。

供應商評選策略
身教比言教重要

許多供應商在與組織洽談時,會以過去經驗作為分享,此原本無可厚非,然而資訊安全觸碰的是組織裡最敏感的一部份,如果供應商可以跟你鉅細靡遺的大談其他客戶的內部狀況,其他客戶的安全防護現況,那麼這樣的供應商恐怕連自身的資訊安全都沒做好,難保組織內部的資訊不會藉由這樣的供應商外流,反而造成安全事件,因此,在供應商評選時,除了注意相關人員資格履歷外,更要注意供應商本身的資訊安全管理是否嚴謹。


口碑比過往業績重要

企業在評選廠商時,所陷入的第一個迷思,就是這家廠商過去做過哪些同業的案子?原來的想法是,希望藉以了解這家廠商有多少產業經驗(domain knowledge),於是,我們看到每家廠商的過往業績中,洋洋灑灑一堆客戶名稱,仔細推敲,不乏見到同一家組織名稱,同時出現在二、三家廠商的名單中,此外,資訊安全的發展不過幾年的時間,又能有多少廠商能真正提出其資訊安全的業績呢?因此,有經驗的評選委員不會只去問廠商過往的業績,而會直接向企業求證該廠商過往口碑。一家負責專業的廠商,才有能力完成企業真正的需求,與其去問這家廠商到底承接過多少案子,不如去問客戶對這家廠商的滿意度是多少?結案率是多少?


服務深度比工具新穎重要

雖然資訊安全技術的特色就是“快”與“變”,幾乎每三個月就會有一項新的技術問世,看得企業主眼花撩亂,加上廠商天花亂墜,許多企業就這麼成為白老鼠了。這裡並不是鼓勵企業選用過時的技術,而是建議採用穩定的技術與服務深度足夠的團隊,以最普遍被大家採用的「弱點掃描服務」(Vulnerability Scan/Assessment)為例,許多供應商強調其採用工具可以偵測多少種弱點,市場佔有率如何,然而,就組織的防護角度而言,應該重視的是,其執行與支援的團隊是否能夠充分應用這些工具,協助組織發現問題,更重要的是解決問題,而不是只是讓工具執行後,提供制式化的報表,強硬要求資訊人員更新所有系統元件,卻不能同時顧及組織是否已有採取一些制度面或其他的補償性控制措施。
團隊專業比公司招牌重要

資訊安全是一個高度依賴經驗的服務,尤其有許多比重需要協助組織推動整個安全防護,因此團隊成員的經驗、溝通協調能力都會影響資訊安全防護推動的順暢與否,而當整個資訊產業走到知識經濟的時候,公司已經成為一個技術市集 (Technology Market Place),公司的招牌不再是資訊安全專業的保證,團隊的專業性與默契,決定了資訊安全專案的成功與否,而創造出公司口碑的專業團隊,將會呈現一種流動的平衡,這樣的團隊可能因挖角或創設公司而流動,所以在評選廠商時,與其去迷信公司的招牌,不如去了解負責這項專案的團隊成員的專才與經驗。


內部顧與外部顧問並用

許多組織的資訊安全是由資訊部門或稽核部門負責推動,因為資訊部門最懂電腦的技術,然而資訊安全事件,往往發生在終端使用者身上,例如病毒、資訊外流。而如果僅僅依賴外部廠商或顧問,卻往往遭致反彈,不是制度流於理想,就是工具設定不良,影響工作效率,因此,資訊安全的專案,應該以資訊單位代表、業務單位代表及稽核單位代表為內部顧問,以委外廠商為外部顧問。內部顧問負責依據組織文化,提出適當之安全需求,外部顧問負責提供相關解決方案、執行經驗,協助建構組織之安全防護。


長期諮詢比隨案評選重要

資訊安全是一種長期的防護與回饋作業,影響組織的整體風險管理邏輯,並不像其他專案,誰接手都一樣,一個好的資訊安全委外廠商,就像組織的家庭醫師一樣,可以同時從制度面、技術面,依據組織的業務、資訊環境變化,提供不同的強化建議,是一種持續的防護作業,因此,組織在評選資訊安全的委外廠商時,應該以長期諮詢為出發,篩選不適合的委外廠商,一旦找到適合的委外廠商,在不影響獨立性的範圍內,不要輕易更換。


資訊安全是一項特殊的業務,可能牽涉到組織最重要的營運命脈,是一項整體的防護哲學,在考量成本效益的前提下,委外執行固然是一種可行的方法,然而,業務承辦人本身對於委外廠商的評選、稽核與專案的品質監控能力,會是委外服務成敗的另一項關鍵因素。(本文作者為資誠會計師事務所資深顧問)