ISMS持續發燒，顧問服務供不應求

文／何珮琪


（本文詳見第六期新春號《資安人》雜誌）

2004年，是資安管理、系統整合顧問業者含笑收割的一年，而且這收割在顧問需求倍增而資深顧問人才（全球皆如此，不僅是台灣）短缺的情況下，不僅含笑收割，還肯定是個大豐年。


資訊安全的市場已經被看好已久，但始終沒有出現突破性的進展。因為景氣低迷，因此台灣的資安顧問諮詢業界無論人才養成、風險評估的標準、教育認證制度，或是企業對委外業者的信任度，都還在起步階段，以致於企業多半停留在購買與安裝產品的階段。


過去，台灣的資安觀念才正在起步。無論觀念和技術上都落後歐美三到五年的區間，當然，對資安管理這類沒有明顯利基的系統的導入步驟也較慢。資安管理的投資報酬率不明顯，並且是一個防範未然的措施。資安的建置沒有直接的投資報酬率，企業主的興趣可能就不高。


過去在政府還沒有帶頭推行的時候，教育訓練或顧問公司在資安相關的業績，大約只有總業績個位數百分比的規模，可說是聊勝於無。但在政府積極推行資安之後，這部分業績比例已開始大幅成長。


在加入WTO之後，在貿易上為了與全球接軌、在國際間競爭，如ISO 17799這類國際性的驗證對，就多少受到客戶的要求而有其必要。再加上以資通安全會報提列的二十個攸關「國家安全、社會安定」的A+級系統馬首是瞻，優先進行資安系統導入建置，對企業的資安管理意識更起了帶頭馬車的激勵作用。

主流仍是BS7799，亞太地區最熱中
現今BS7799這項標準已經是資安業界競相爭取導入的主流資安標準。台灣的國家標準CNS 17799、CNS 17800，就是參考BS7799的Part 1和Part2且加以中文化。2004年，在資安管理的國際趨勢上，以BS7799為主流的管理系統標準，亞太地區因為起步較晚，所以每年增加的驗證張數最多。


根據英國標準協會（BSi）的大中國區訓練經理蒲樹盛預估，2004年全球在BS7799上的成長粗估將達到一倍（將近1000家），而從日本、台灣、香港成長幅度來估計，亞太區約有三倍成長，佔全球數量的一半。其中日本的驗證張數已經超過英國，在全球是最積極推驗證的國家。台灣在2004年的成長家數約三到五倍，據估計「導入並驗證」的，約有三十到五十家。其中以政府A+級二十個單位為主，跟亞太三倍的成長率是一致的。


在ISMS方面的驗證，最主流的還是ISO17799／BS7799。國際上共有六種資安相關管理手法，但是如ISO 15408（Common Criteria）、FIPS 140、COBIT、ISO/IEC 13335（GMITS）等等的IT量都很高，基本上是以ISO 17799較為符合一般企業管理需求。


BS7799可以管理到組織、客戶、供應的安全，但是在IT服務、IT系統上如果需要更深度的管理，就需要搭配比較技術性的標準。不過，「管理」還是企業最主要的問題，據調查，無論國內或全球，一百件安全事件中，第一名是病毒之外，人為的事件（不當存取控制等）就佔了三成，駭客等問題其實只有個位數百分比，因此還是要用BS7799將人為的因素減到最低。


然而，BS7799還是以歐洲和亞太地區為主，在美國市場較乏人問津。自911之後，美國的安全市場都以國土安全（Homeland Security）的角度來看。蒲樹盛表示，美國的國土安全計劃分為很多模塊，大部分都是在海防、邊防、運輸、核生化、恐怖攻擊等，資安僅是其中一環。除了美國之外，把「國土安全」當成一個專案來推的國家似乎還沒有。不過預估2004年後，一旦國土安全專案出來後，應該就會開始推行ISMS。


截至目前為止，全球獲得BS 7799驗證的企業組織約有四百多家，在台灣，目前獲得BS 7799的單位共有十餘家，分別是：國家資通安全會報技術服務中心、宏瞻科技、立駭科技（SOC）、ING安泰人壽、建華銀行、財金中心、宏泰人壽、宏碁（eDC）、檔案管理局、台灣證券交易所以及台灣網路資訊中心（TWNIC）等。通過驗證或準備導入並通過驗證的民間企業，主要是在金融、銀行、壽險等產業，因為金融業有明顯而迫切的需求，並且金融事件直接影響企業聲譽與經營，因此導入意願強烈。即使不是為了拿驗證，也必然會請顧問進入作留長上的風險管理或弱點評估。「金融業在過去就已經有繁複的內規，因此在導入ISMS的作業流程比較容易接受」，宏瞻資訊張美月協理說。


既然在資安顧問稽核市場有這麼大的需要，稽核員的教育訓練也自然成為兵家必爭之地。開課的顧問公司很多，但要注意的是顧問所開的課程必須經過「英國認證服務」（UKAS）及IRCA的授權，所發出的LA資格才是可以被國際認可的。由國際間的稽核員組成的IRCA（驗證稽核源登錄國際組織），是負責稽核員教育訓練及規範的主要國際團體，在2002年IRCA公佈了稽核員（Auditor）和主導稽核員（Lead Auditor）的訓練課程規範，比起UKAS更多了風險管理的ISO/IEC TR 13335標準。而標準檢驗局也準備將這個標轉轉定成CNS國家標準，有關的訓練課程也在安排中。

資安驗證顧問，量增價跌
在2004年的驗證業務上，驗證業務其實是比較穩定的。蒲樹盛說明，根據UKAS公告，目前全球共有十二家驗證機構可以執行ISMS驗證，在台灣有開設分支機構的只有五家，目前發出過BS7799驗證的只有兩家（英國BSi和挪威DNV）。而BSi在三、四年前就開始推廣這項驗證。蒲樹盛說：「驗證公司因為門檻較高，包含稽核程序、稽核師資格等都必須受國際規範來監督，估計2004年頂多仍是這五家。」


至於2004年的顧問情況，他表示，顧問公司的市場就比較沒有限制，一方面顧問本身沒有資格限制，二方面因為嗅到商機，因此很多新的顧問公司成立，趕著搶進資安顧問市場，顧問諮詢的價錢也急速下跌，「甚至可以喊到公開標價的半價以下。」蒲樹盛無奈地表示，「套句股票的術語，明年的顧問市場是『量增價跌』。」而甚至在驗證稽核的報價，也有類似怪現象。據了解，驗證只需二、三個人／天，稽核驗證總費用只需十幾萬至數十萬的區間（依範圍大小而稍有不同），每半年的「後續審查」（2人／天）大概還約需十萬元經費。其實外界擔憂稽核費用過高，是不正確的。


其實，國內的標準檢驗局（CNAB）也可以執行CNS 17800驗證，且因為是非營利機構，且薪資等成本結構不同，有政府補助，因此報價不高，據了解，標檢局的一個稽核人／天，價錢只有八千到一萬元。但目前不論政府部門或民間企業，都還是找國際的驗證公司拿國際認可的標準證書。但據全國認證基金會執行長張滿惠表示，標檢局的人員在專業度上是被認可的，並且也很嚴謹地執行稽核的業務，未來也有計劃要加入UKAS，讓它所發的證書得到國際認可，所以2004年開始也可能會有企業拿國內的CNS證書，如果國內的證書發的多了，在國際上的知名度也會提昇。


顧問服務急速成長，人力、品質將是關鍵
國內市場的ISMS市場每年都成倍數成長，因為資安的建置還在起步階段，因此成長的數字較沒有意義。眾家顧問公司咸認，2004年的資安業務僅是延續2003年的工作繼續執行，其中首推A級單位二十家，這二十家幾乎都已經發包了，因此顧問公司在2004年的主要業務就是如期完成。以四大事務所為首的顧問公司在2004年，資安相關的業務幾乎都已經排滿了，而如幾家大事務所也只接大型專案（指風險範圍Scope的大小）。政府單位的業務看似忙碌，其實礙於政府標案的經費有限，其中利潤並不高。


在輔導的內容上，ISMS必然是第一重點，網路監控中心（SOC）的建置，資安管理服務（MSS, Managed Security Service）等的委外也將有大幅度需求。金融業則著重在風險管理（因應金融卡盜領事件不斷出現及巴塞爾資本協定之要求）等，緊急應變處理流程（BCP）即資訊安全控管流程的檢視及規劃也會有需求，醫療產業也有潛力。此外，安永管顧莊強閔顧問則表示，弱點評估委外的可能性越來越高，金融單位過去都自己執行，但未來若有公正第三者幫金融單位執行的話，當金檢局查核的時候就足以提供為中立性參考。


根據資策會的統計，2003年全球的資安服務市場（包含顧問、驗證、系統整合等等）規模挑戰100億美元，2004年也預估有20%以上的CAGR（年複合成長率）。而其中顧問市場的成長，勤業眾信事務所的萬幼筠顧問表示，在台灣，2004年也大約有20%的成長，實際可以到25-30%之間。明年資安業務估計有三成的成長，主要原因是2003年的SARS讓百業停頓，因此從SARS之後的2003年下旬到2004年初，才是資安顧問市場運作的開始。各顧問公司的業務在2004年都很樂觀，但只是因為台灣資安正在起步。到2005年，資安需求是否會下跌？他認為應該會較緩，但長期來看，需求不會明顯下降，在A+級單位通過後，也應該會往下級單位繼續推廣。他擔憂的倒是國內顧問公司的品質良莠不齊，資深顧問人力嚴重匱乏，因此他建議，廠商在提案時，務必鎖住洽談者（執行者），以免執行時換了顧問。


KPMG安侯建業會計師事務所的陳瑞祥副總也表示，一位合格的顧問的養成不是三兩年就可以勝任的，尤其在資安顧問的養成上，除了IT背景的知識之外，還要有顧問輔導的know-how，企業管理的概念，更重要的是可信賴的人格。國外的顧問動輒十幾二十年的經驗，其中的經驗和成熟度就不是年輕顧問可蹴及。顧問涉及到顧客的機密，必須在操守上非常嚴謹、言行低調謹慎。因此陳瑞祥也建議，業者2004年若有意要導入資安建置就要快，以免到時找不到合格的顧問輔導，如果因此而急就章遷就一些不成熟的顧問，導致資安品質下降。

四大顧問私下練功，尋求未來新出路
2004年底過了之後ISMS業務是否就會因此而走下坡？二十個A+系統會增加到三十，是否可能再加到四十？這些系統會不會帶著下級單位一起再建置？A級單位、B級單位是否也會主動導入？答案是樂觀的，再加上民間企業因應競爭態勢及自我防護的要求，導入需求將越來越明顯。看來顧問在BS7799的經營應該還有幾年的時間。


需求不會下降，但是因為削價競爭的關係，利潤會下跌。因此各家顧問私下其實都如鴨子划水般，暗自規劃其專長的資安業務（參見附表）。資誠企管的許林舜會計師表示，BS7799多半是紀錄、文書制度，類似ISO，流程、書面文字、紀錄。如果就CPA（會計師，Certified Public Accountants）而言，要達到要求不是很難，但以稽核的眼光去看，還是可以被查出許多缺點。因此他們希望專注在下一階段的產品，如「委外管理」。要如何去做一個很好的委外管理，細節就很多，如e-Business中的身分管理（Identity Management）等，這部分在台灣還沒成形，台灣PwC還沒有接到這類案子，國外已經很多，未來資誠將跟國際PwC分支合作此案。


此外，企業需要知道他們的e-Business model要如何去套上資安的架構，比如PKI電子簽章等應用技術，包括交易雙方資料欄位的存取等等。台灣目前的應用module 都不是免費的，而諮詢顧問這方也無法提供到很詳盡的程度，否則諮詢顧問費用會很高，因此未來策略傾向提出一套以應用導向作配套的Package，來提供Total solution。今年將資誠和PwC整合，結合不同domain know-how的人才來進行流程改善的基礎工程，希望是在兩年或三年後，在台灣發展成一套產品。


安侯建業除了接受一般大型的專案外，也很熱心地往中小企業的服務紮根。陳瑞祥副總表示，在先進國家如美國日本等地，企業的資安建置經費都至少佔大約10%到15%左右。台灣則還沒有到這個比例，台灣目前的企業主都還停留在有必要作才作的階段，並沒有意識到資安的重要。但照陳瑞祥的看法，中小企業更有資安需求，因為這些中型產業的IT複雜度也很高，對資安的認知和管理都較不清楚，因此風險也更高。所以安侯並不排除接中型企業的輔導業務，也就是兩千家上市上櫃公司的業務。


安永管顧（Ernst & Young）表示，國外的資安解決方案走的較快，因此很多安全問題在國外已經有solution，只是台灣不知道而已。因此安永的主力在網頁應用程式的開發，在此已有一年多的經驗。並引進以色列的商用軟體，配合人工判讀和修改的工具。針對網頁應用程式檢測是否有參數竄改的問題共十二項來作檢測。因此安永管顧的服務，除了純粹的諮詢與建議外，也可以附上solution，如風險評鑑工具、文件控管系統、弱點評估等等軟體的建議和建置。


而執國內資安顧問業績牛耳的勤業眾信（Deloitte）則提出一個嶄新的方案，就是網路犯罪的應變和蒐證。網路空間安全（cyberspace security）議題已經被列入美國國土安全局（HSD）計劃，從國內外經由網路發生的商業間諜案或洩密案層出不窮，這也是風險管理重要的一環。公司的機密被對手竊取影響營運甚鉅，因此公司必須確認這些犯案是在何時、如何發生，發生後又該如何因應、蒐證，可以藉由log來舉證。

系統整合業者扮演什麼角色？
當顧客需要顧問一併處理硬體建置的時候，就是系統整合業者上演的時機。尋求系統整合業者來輔導資安架構的企業，通常並不以通過BS7799為目的。SI通常能夠結合顧問及系統設計的兩項平均優勢，提供產品上的建議。可說資安架構的建議和稽核，這部分多半是由專業顧問公司執行，顧問建議之後，系統整合業者則可以進來作流程設計、系統整合及產品規劃等服務。而有全球資源的跨國系統顧問業者，在提供企業total solution上較佔先天的優勢。在地的SI業者是更加努力，以自身通過驗證、引進國外管理方案、加強人員素質來補強。
有些SI不以輔導通過BS7799為重點，如台灣IBM就是其一。IBM資訊服務部陳長榮協理表示，有效的資安應該是一、系統整合導向，二、流程導向，三、自動化程度高，從流程開始簡化落實，在成本、方便性及資安上取得平衡，思考如何應用科技來讓流程簡化、自動化，而不是加重使用者的負擔，「這需要經驗加點子」。


陳長榮提到，客戶要求的是End-to-end的ISMS建置，而非稽核而已，因此純粹的稽核不應稱為輔導。顧問應該從客戶的整體需求來作規劃，為稽核而稽核，其出發點和內容就不同。陳長榮表示，IBM以其全球經驗的龐大資訊資產和科技背景作後盾，並應用IBM本身的ISMS經驗，加上BS7799的要旨，並配合每個客戶的需求來整合出一套獨特的管理模式。此外，還要有能力為客戶提出策略規劃，「廠商賣什麼就強調什麼，什麼時期該作什麼規劃。」並且，「資安不可避談實體安全，否則無法運作。」因此，IBM從過去的諮詢、SI建置，2004年將會更朝向引進美國國土安全計劃中，IBM研究室研發的高科技，如其著名的生物辨識系統、智慧監視引擎（Smart Surveillance Engine）等等，來應用到資安面向。


台灣優利（Unisys）的觀念是「安全攸關企業整合」，因此企業要做到完整的資訊安全系統，不能僅是片面、分區來控管。資深經理呂孟玲提出，優利自己研發了一套total solution，從風險評估到控管的「零漏洞安全計劃」（Unisys Zero-Gap Security Planning），主要是從實體、營運、網路和金融四個主要的安全層面來定資安管理計劃，並應用其Security Modules管理平台軟體，以集中式的主機、單一主控台的方式，整合所有日誌及警告，將所有事件，經過分析後過濾出真正的事端（accident），才作即時通報（Real-time Alert）。另外，優利在全球也營運了八個安全監控中心（SOC），分別座落於香港、德州、阿姆斯特單、雪梨等等城市。


有能力建立SOC的SI業者，2004年對資通會報要求的A級單位SOC委外業務都有相當能力和意願承接，國內SI業者如精誠、立駭、鈺松、優網通、諮安、以及新近成立的新光組合等，也對這塊委外市場表示積極意願。


宏瞻很特別地是引進德國的ITBPM （Information Technology Baseline Protection Manual）——T?ViT發展的SQ（Security Qualification）系統，來特別對IT系統進行評鑑、分等和任證。這套系統相當於ISO 15443，如果把資安體系切成金字塔型的三塊，由上而下分別是組織、系統、模組，那麼SQ就是補強中間的系統這部分（參見圖一），適用於高科技、或IT性質很高的行業。

結語與建議
推動ISMS，如果只是為了獲得一紙證書，那就失去真正的意義。如果企業希望建立一套符合企業需要的資訊安全系統，那麼正如所有顧問都建議的，從一開始就應就企業真正的核心業務（core business）也就是風險所在，界定ISMS的範圍，並且應該就風險評鑑的結果、配合風險管理的角度來執行資安建置，而除了資訊安全的政策，企業更應該做的是確定資安目標。最好是在導入前安排高階主管或內部控管人員接受相關教育訓練，才有能力和正確的觀念尋求顧問的協助，不會被顧問牽著走，也不至於浪費雙方的時間金錢。而企業若有決心，上下通利動員，最後慎選顧問，正確逐步的導入資安建置，才會發揮顧問輔導的最大作用。有了以上的動作，拿到驗證並不難。


拿到證照代表系統的問題不多，除了對內外貼上安全標章，可能必須體認這是下一個挑戰的開始：持續維護！