文/何珮琪
(本文詳見第六期新春號《資安人》雜誌)
2004年,是資安管理、系統整合顧問業者含笑收割的一年,而且這收割在顧問需求倍增而資深顧問人才(全球皆如此,不僅是台灣)短缺的情況下,不僅含笑收割,還肯定是個大豐年。
資訊安全的市場已經被看好已久,但始終沒有出現突破性的進展。因為景氣低迷,因此台灣的資安顧問諮詢業界無論人才養成、風險評估的標準、教育認證制度,或是企業對委外業者的信任度,都還在起步階段,以致於企業多半停留在購買與安裝產品的階段。
過去,台灣的資安觀念才正在起步。無論觀念和技術上都落後歐美三到五年的區間,當然,對資安管理這類沒有明顯利基的系統的導入步驟也較慢。資安管理的投資報酬率不明顯,並且是一個防範未然的措施。資安的建置沒有直接的投資報酬率,企業主的興趣可能就不高。
過去在政府還沒有帶頭推行的時候,教育訓練或顧問公司在資安相關的業績,大約只有總業績個位數百分比的規模,可說是聊勝於無。但在政府積極推行資安之後,這部分業績比例已開始大幅成長。
在加入WTO之後,在貿易上為了與全球接軌、在國際間競爭,如ISO 17799這類國際性的驗證對,就多少受到客戶的要求而有其必要。再加上以資通安全會報提列的二十個攸關「國家安全、社會安定」的A+級系統馬首是瞻,優先進行資安系統導入建置,對企業的資安管理意識更起了帶頭馬車的激勵作用。
主流仍是BS7799,亞太地區最熱中
現今BS7799這項標準已經是資安業界競相爭取導入的主流資安標準。台灣的國家標準CNS 17799、CNS 17800,就是參考BS7799的Part 1和Part2且加以中文化。2004年,在資安管理的國際趨勢上,以BS7799為主流的管理系統標準,亞太地區因為起步較晚,所以每年增加的驗證張數最多。
根據英國標準協會(BSi)的大中國區訓練經理蒲樹盛預估,2004年全球在BS7799上的成長粗估將達到一倍(將近1000家),而從日本、台灣、香港成長幅度來估計,亞太區約有三倍成長,佔全球數量的一半。其中日本的驗證張數已經超過英國,在全球是最積極推驗證的國家。台灣在2004年的成長家數約三到五倍,據估計「導入並驗證」的,約有三十到五十家。其中以政府A+級二十個單位為主,跟亞太三倍的成長率是一致的。
在ISMS方面的驗證,最主流的還是ISO17799/BS7799。國際上共有六種資安相關管理手法,但是如ISO 15408(Common Criteria)、FIPS 140、COBIT、ISO/IEC 13335(GMITS)等等的IT量都很高,基本上是以ISO 17799較為符合一般企業管理需求。
BS7799可以管理到組織、客戶、供應的安全,但是在IT服務、IT系統上如果需要更深度的管理,就需要搭配比較技術性的標準。不過,「管理」還是企業最主要的問題,據調查,無論國內或全球,一百件安全事件中,第一名是病毒之外,人為的事件(不當存取控制等)就佔了三成,駭客等問題其實只有個位數百分比,因此還是要用BS7799將人為的因素減到最低。
然而,BS7799還是以歐洲和亞太地區為主,在美國市場較乏人問津。自911之後,美國的安全市場都以國土安全(Homeland Security)的角度來看。蒲樹盛表示,美國的國土安全計劃分為很多模塊,大部分都是在海防、邊防、運輸、核生化、恐怖攻擊等,資安僅是其中一環。除了美國之外,把「國土安全」當成一個專案來推的國家似乎還沒有。不過預估2004年後,一旦國土安全專案出來後,應該就會開始推行ISMS。
截至目前為止,全球獲得BS 7799驗證的企業組織約有四百多家,在台灣,目前獲得BS 7799的單位共有十餘家,分別是:國家資通安全會報技術服務中心、宏瞻科技、立駭科技(SOC)、ING安泰人壽、建華銀行、財金中心、宏泰人壽、宏碁(eDC)、檔案管理局、台灣證券交易所以及台灣網路資訊中心(TWNIC)等。通過驗證或準備導入並通過驗證的民間企業,主要是在金融、銀行、壽險等產業,因為金融業有明顯而迫切的需求,並且金融事件直接影響企業聲譽與經營,因此導入意願強烈。即使不是為了拿驗證,也必然會請顧問進入作留長上的風險管理或弱點評估。「金融業在過去就已經有繁複的內規,因此在導入ISMS的作業流程比較容易接受」,宏瞻資訊張美月協理說。
既然在資安顧問稽核市場有這麼大的需要,稽核員的教育訓練也自然成為兵家必爭之地。開課的顧問公司很多,但要注意的是顧問所開的課程必須經過「英國認證服務」(UKAS)及IRCA的授權,所發出的LA資格才是可以被國際認可的。由國際間的稽核員組成的IRCA(驗證稽核源登錄國際組織),是負責稽核員教育訓練及規範的主要國際團體,在2002年IRCA公佈了稽核員(Auditor)和主導稽核員(Lead Auditor)的訓練課程規範,比起UKAS更多了風險管理的ISO/IEC TR 13335標準。而標準檢驗局也準備將這個標轉轉定成CNS國家標準,有關的訓練課程也在安排中。
資安驗證顧問,量增價跌
在2004年的驗證業務上,驗證業務其實是比較穩定的。蒲樹盛說明,根據UKAS公告,目前全球共有十二家驗證機構可以執行ISMS驗證,在台灣有開設分支機構的只有五家,目前發出過BS7799驗證的只有兩家(英國BSi和挪威DNV)。而BSi在三、四年前就開始推廣這項驗證。蒲樹盛說:「驗證公司因為門檻較高,包含稽核程序、稽核師資格等都必須受國際規範來監督,估計2004年頂多仍是這五家。」
至於2004年的顧問情況,他表示,顧問公司的市場就比較沒有限制,一方面顧問本身沒有資格限制,二方面因為嗅到商機,因此很多新的顧問公司成立,趕著搶進資安顧問市場,顧問諮詢的價錢也急速下跌,「甚至可以喊到公開標價的半價以下。」蒲樹盛無奈地表示,「套句股票的術語,明年的顧問市場是『量增價跌』。」而甚至在驗證稽核的報價,也有類似怪現象。據了解,驗證只需二、三個人/天,稽核驗證總費用只需十幾萬至數十萬的區間(依範圍大小而稍有不同),每半年的「後續審查」(2人/天)大概還約需十萬元經費。其實外界擔憂稽核費用過高,是不正確的。
其實,國內的標準檢驗局(CNAB)也可以執行CNS 17800驗證,且因為是非營利機構,且薪資等成本結構不同,有政府補助,因此報價不高,據了解,標檢局的一個稽核人/天,價錢只有八千到一萬元。但目前不論政府部門或民間企業,都還是找國際的驗證公司拿國際認可的標準證書。但據全國認證基金會執行長張滿惠表示,標檢局的人員在專業度上是被認可的,並且也很嚴謹地執行稽核的業務,未來也有計劃要加入UKAS,讓它所發的證書得到國際認可,所以2004年開始也可能會有企業拿國內的CNS證書,如果國內的證書發的多了,在國際上的知名度也會提昇。
顧問服務急速成長,人力、品質將是關鍵
國內市場的ISMS市場每年都成倍數成長,因為資安的建置還在起步階段,因此成長的數字較沒有意義。眾家顧問公司咸認,2004年的資安業務僅是延續2003年的工作繼續執行,其中首推A級單位二十家,這二十家幾乎都已經發包了,因此顧問公司在2004年的主要業務就是如期完成。以四大事務所為首的顧問公司在2004年,資安相關的業務幾乎都已經排滿了,而如幾家大事務所也只接大型專案(指風險範圍Scope的大小)。政府單位的業務看似忙碌,其實礙於政府標案的經費有限,其中利潤並不高。
在輔導的內容上,ISMS必然是第一重點,網路監控中心(SOC)的建置,資安管理服務(MSS, Managed Security Service)等的委外也將有大幅度需求。金融業則著重在風險管理(因應金融卡盜領事件不斷出現及巴塞爾資本協定之要求)等,緊急應變處理流程(BCP)即資訊安全控管流程的檢視及規劃也會有需求,醫療產業也有潛力。此外,安永管顧莊強閔顧問則表示,弱點評估委外的可能性越來越高,金融單位過去都自己執行,但未來若有公正第三者幫金融單位執行的話,當金檢局查核的時候就足以提供為中立性參考。
根據資策會的統計,2003年全球的資安服務市場(包含顧問、驗證、系統整合等等)規模挑戰100億美元,2004年也預估有20%以上的CAGR(年複合成長率)。而其中顧問市場的成長,勤業眾信事務所的萬幼筠顧問表示,在台灣,2004年也大約有20%的成長,實際可以到25-30%之間。明年資安業務估計有三成的成長,主要原因是2003年的SARS讓百業停頓,因此從SARS之後的2003年下旬到2004年初,才是資安顧問市場運作的開始。各顧問公司的業務在2004年都很樂觀,但只是因為台灣資安正在起步。到2005年,資安需求是否會下跌?他認為應該會較緩,但長期來看,需求不會明顯下降,在A+級單位通過後,也應該會往下級單位繼續推廣。他擔憂的倒是國內顧問公司的品質良莠不齊,資深顧問人力嚴重匱乏,因此他建議,廠商在提案時,務必鎖住洽談者(執行者),以免執行時換了顧問。
KPMG安侯建業會計師事務所的陳瑞祥副總也表示,一位合格的顧問的養成不是三兩年就可以勝任的,尤其在資安顧問的養成上,除了IT背景的知識之外,還要有顧問輔導的know-how,企業管理的概念,更重要的是可信賴的人格。國外的顧問動輒十幾二十年的經驗,其中的經驗和成熟度就不是年輕顧問可蹴及。顧問涉及到顧客的機密,必須在操守上非常嚴謹、言行低調謹慎。因此陳瑞祥也建議,業者2004年若有意要導入資安建置就要快,以免到時找不到合格的顧問輔導,如果因此而急就章遷就一些不成熟的顧問,導致資安品質下降。
四大顧問私下練功,尋求未來新出路
2004年底過了之後ISMS業務是否就會因此而走下坡?二十個A+系統會增加到三十,是否可能再加到四十?這些系統會不會帶著下級單位一起再建置?A級單位、B級單位是否也會主動導入?答案是樂觀的,再加上民間企業因應競爭態勢及自我防護的要求,導入需求將越來越明顯。看來顧問在BS7799的經營應該還有幾年的時間。
需求不會下降,但是因為削價競爭的關係,利潤會下跌。因此各家顧問私下其實都如鴨子划水般,暗自規劃其專長的資安業務(參見附表)。資誠企管的許林舜會計師表示,BS7799多半是紀錄、文書制度,類似ISO,流程、書面文字、紀錄。如果就CPA(會計師,Certified Public Accountants)而言,要達到要求不是很難,但以稽核的眼光去看,還是可以被查出許多缺點。因此他們希望專注在下一階段的產品,如「委外管理」。要如何去做一個很好的委外管理,細節就很多,如e-Business中的身分管理(Identity Management)等,這部分在台灣還沒成形,台灣PwC還沒有接到這類案子,國外已經很多,未來資誠將跟國際PwC分支合作此案。
此外,企業需要知道他們的e-Business model要如何去套上資安的架構,比如PKI電子簽章等應用技術,包括交易雙方資料欄位的存取等等。台灣目前的應用module 都不是免費的,而諮詢顧問這方也無法提供到很詳盡的程度,否則諮詢顧問費用會很高,因此未來策略傾向提出一套以應用導向作配套的Package,來提供Total solution。今年將資誠和PwC整合,結合不同domain know-how的人才來進行流程改善的基礎工程,希望是在兩年或三年後,在台灣發展成一套產品。
安侯建業除了接受一般大型的專案外,也很熱心地往中小企業的服務紮根。陳瑞祥副總表示,在先進國家如美國日本等地,企業的資安建置經費都至少佔大約10%到15%左右。台灣則還沒有到這個比例,台灣目前的企業主都還停留在有必要作才作的階段,並沒有意識到資安的重要。但照陳瑞祥的看法,中小企業更有資安需求,因為這些中型產業的IT複雜度也很高,對資安的認知和管理都較不清楚,因此風險也更高。所以安侯並不排除接中型企業的輔導業務,也就是兩千家上市上櫃公司的業務。
安永管顧(Ernst & Young)表示,國外的資安解決方案走的較快,因此很多安全問題在國外已經有solution,只是台灣不知道而已。因此安永的主力在網頁應用程式的開發,在此已有一年多的經驗。並引進以色列的商用軟體,配合人工判讀和修改的工具。針對網頁應用程式檢測是否有參數竄改的問題共十二項來作檢測。因此安永管顧的服務,除了純粹的諮詢與建議外,也可以附上solution,如風險評鑑工具、文件控管系統、弱點評估等等軟體的建議和建置。
而執國內資安顧問業績牛耳的勤業眾信(Deloitte)則提出一個嶄新的方案,就是網路犯罪的應變和蒐證。網路空間安全(cyberspace security)議題已經被列入美國國土安全局(HSD)計劃,從國內外經由網路發生的商業間諜案或洩密案層出不窮,這也是風險管理重要的一環。公司的機密被對手竊取影響營運甚鉅,因此公司必須確認這些犯案是在何時、如何發生,發生後又該如何因應、蒐證,可以藉由log來舉證。
系統整合業者扮演什麼角色?
當顧客需要顧問一併處理硬體建置的時候,就是系統整合業者上演的時機。尋求系統整合業者來輔導資安架構的企業,通常並不以通過BS7799為目的。SI通常能夠結合顧問及系統設計的兩項平均優勢,提供產品上的建議。可說資安架構的建議和稽核,這部分多半是由專業顧問公司執行,顧問建議之後,系統整合業者則可以進來作流程設計、系統整合及產品規劃等服務。而有全球資源的跨國系統顧問業者,在提供企業total solution上較佔先天的優勢。在地的SI業者是更加努力,以自身通過驗證、引進國外管理方案、加強人員素質來補強。
有些SI不以輔導通過BS7799為重點,如台灣IBM就是其一。IBM資訊服務部陳長榮協理表示,有效的資安應該是一、系統整合導向,二、流程導向,三、自動化程度高,從流程開始簡化落實,在成本、方便性及資安上取得平衡,思考如何應用科技來讓流程簡化、自動化,而不是加重使用者的負擔,「這需要經驗加點子」。
陳長榮提到,客戶要求的是End-to-end的ISMS建置,而非稽核而已,因此純粹的稽核不應稱為輔導。顧問應該從客戶的整體需求來作規劃,為稽核而稽核,其出發點和內容就不同。陳長榮表示,IBM以其全球經驗的龐大資訊資產和科技背景作後盾,並應用IBM本身的ISMS經驗,加上BS7799的要旨,並配合每個客戶的需求來整合出一套獨特的管理模式。此外,還要有能力為客戶提出策略規劃,「廠商賣什麼就強調什麼,什麼時期該作什麼規劃。」並且,「資安不可避談實體安全,否則無法運作。」因此,IBM從過去的諮詢、SI建置,2004年將會更朝向引進美國國土安全計劃中,IBM研究室研發的高科技,如其著名的生物辨識系統、智慧監視引擎(Smart Surveillance Engine)等等,來應用到資安面向。
台灣優利(Unisys)的觀念是「安全攸關企業整合」,因此企業要做到完整的資訊安全系統,不能僅是片面、分區來控管。資深經理呂孟玲提出,優利自己研發了一套total solution,從風險評估到控管的「零漏洞安全計劃」(Unisys Zero-Gap Security Planning),主要是從實體、營運、網路和金融四個主要的安全層面來定資安管理計劃,並應用其Security Modules管理平台軟體,以集中式的主機、單一主控台的方式,整合所有日誌及警告,將所有事件,經過分析後過濾出真正的事端(accident),才作即時通報(Real-time Alert)。另外,優利在全球也營運了八個安全監控中心(SOC),分別座落於香港、德州、阿姆斯特單、雪梨等等城市。
有能力建立SOC的SI業者,2004年對資通會報要求的A級單位SOC委外業務都有相當能力和意願承接,國內SI業者如精誠、立駭、鈺松、優網通、諮安、以及新近成立的新光組合等,也對這塊委外市場表示積極意願。
宏瞻很特別地是引進德國的ITBPM (Information Technology Baseline Protection Manual)——T?ViT發展的SQ(Security Qualification)系統,來特別對IT系統進行評鑑、分等和任證。這套系統相當於ISO 15443,如果把資安體系切成金字塔型的三塊,由上而下分別是組織、系統、模組,那麼SQ就是補強中間的系統這部分(參見圖一),適用於高科技、或IT性質很高的行業。
結語與建議
推動ISMS,如果只是為了獲得一紙證書,那就失去真正的意義。如果企業希望建立一套符合企業需要的資訊安全系統,那麼正如所有顧問都建議的,從一開始就應就企業真正的核心業務(core business)也就是風險所在,界定ISMS的範圍,並且應該就風險評鑑的結果、配合風險管理的角度來執行資安建置,而除了資訊安全的政策,企業更應該做的是確定資安目標。最好是在導入前安排高階主管或內部控管人員接受相關教育訓練,才有能力和正確的觀念尋求顧問的協助,不會被顧問牽著走,也不至於浪費雙方的時間金錢。而企業若有決心,上下通利動員,最後慎選顧問,正確逐步的導入資安建置,才會發揮顧問輔導的最大作用。有了以上的動作,拿到驗證並不難。
拿到證照代表系統的問題不多,除了對內外貼上安全標章,可能必須體認這是下一個挑戰的開始:持續維護!
