企業組織的好朋友 顧問新角色－家庭醫師

資訊安全的生命週期
整個資訊安全的生命週期，依照筆者的區分，概略分為下面幾個階段：
*風險評估階段
*資訊安全政策設計階段
*執行階段
*稽核階段
*維護階段

風險評鑑階段
也有人稱為評估階段或差異性分析（Gap Analysis），重點在於瞭解組織目前資訊安全的狀態，應包括技術及管理兩種類別。好比個人去醫院做身體檢查，醫生除了藉由各種儀器的檢查外，還會詢問我們日常生活的管理方式，例如有無喝酒、抽煙或熬夜的習慣等等。風險評鑑階段最後產出的結果，可能是一份風險評鑑報告，報告內容依據組織的業務特性、組織的文化、組織風險的接受程度、所使用的科技策略等等，而有所差異。因此，一般利用弱點掃描工具所產生的弱點掃描報告，比較像是檢查報告，是尚未經過醫師解讀的原始資料，同樣的數據，對於不同組織或不同年齡的被檢查者應有不同的意義。唯有透過專業的資訊安全顧問，藉由顧問清楚地分析各項威脅或弱點，將可能對組織帶來多大的風險，才能協助組織清楚瞭解有哪些風險是必須去面對，進而適當的管理之。

設計階段
這個階段我們將風險評鑑報告的內容，轉換成資訊安全政策（包括程序、作業指導書及紀錄之統稱）。依據風險評鑑的內容，加上現有的一些管控措施及預計設計的安全作業，決定採行哪些風險管理策略（包括降低風險、規避風險、轉嫁風險及接受風險等等）。此時，顧問也會扮演如同醫師的角色，協助組織分析各種管理策略及安全作業的利弊得失，提供組織在做決策時的重要參考依據。若是最後風險評鑑的結果是可接受的，那就將設計的安全作業加進組織的安全政策，並透過下一階段落實之。

建置階段
依據設計階段所設計的資訊安全政策，建置相關的安全作業。這個階段，顧問會陪這組織瞭解建置情形，如同復健師陪著病人，確實去落實每個控制點。當然有時候，事情並不會是如此順利，因為這些管控措施都會多多少少影響到不同部門、不同工作人員原本進行的工作，勢必會招來反彈，顧問應該也是組織重要的溝通管道之一。

稽核階段
若是稽核人員能夠參與這整個資訊安全的生命週期，這時，也是稽核人員發揮的機會。稽核很清楚地瞭解管理重點，也就更清楚稽核要點了。透過獨立第三者的查核，可以去除一些盲點，協助組織改善不當的資訊安全作業。這時資訊安全的設計顧問較不適合擔任此項任務，可再委由其他顧問執行之。

維護階段
組織是持續不斷在運作的，而且時時刻刻都在變化，既使組織變化不大，環境也在變化。因此我們所設計的資訊安全政策，除了加強落實之外，也該因應組織內部或外在環境的變化，而加以適當修訂。顧問此時應瞭解組織的企業策略及目標，協助修訂（甚至重新制訂）資訊安全政策，以滿足組織的需求。

教育訓練
組織是不斷地學習，一般人員需要一些必要的資訊安全常識；技術人員需要一些技術上的教育訓練；藉由顧問對於資訊安全新知的快速取得，迅速將新知導入組織。

顧問的角色
資訊安全顧問與家庭醫師的作用是可以相互比擬的，資訊安全顧問與客戶之間的關係，其實與病人跟醫師之間的關係是有那麼一些相似之處。

沒有問題時不甚注意：
當身體出現了狀況，才會尋找醫師協助。當組織未發現有資安事件時，通常也不會覺得有資訊安全顧問的需求。

執行方式與作用雷同：
通常醫生會問診，然後透過儀器輔助，確認病因為何，進而開立處方。至於病是否會痊癒，與醫生並無重大關係，倒是病人有無充分休息？補足養分？白血球的戰鬥力為何？等等成為主因。同樣的資訊安全顧問，也是做一適當的訪談，藉由一些工具的協助，瞭解組織資訊安全現況，提出改善建議報告。組織資訊安全的程度，其實與組織是否清楚風險所在，是否確實執行相關措施等等有重大關連。

病好了再等下一次循環（把醫師置之腦後）：
病好了之後，又恢復生病前的狀態，等到下次生病時，再去「看」醫生。解決中毒事件後，資訊安全顧問也就沒事了。

顧問的作用：
這是很多客戶首先要清楚的事。當然顧問如何讓您買單也是顧問的基本銷售功力，但為了預防自己的一時衝動或是因為銷售人員的三吋不爛之舌，導致無謂的浪費，瞭解所購買之服務是件重要的事。

舉一個自身的案例，原本為了溝通上的方便，所以想要買一支手機，結果到了店裡，店員以他豐富的銷售經驗告訴我，最新款的手機可以照相、傳影像、錄音等等很炫的功能，價格也不貴，才多萬把塊錢，真是犀利，佩服！佩服！我想也對，我小孩在鄉下，如果有這支手機，我就可以隨時看到我那可愛的「菜脯蛋」（註：筆者的第一個Baby）囉！於是我就這樣多花了一萬多元，原本最陽春的機型也不過幾仟元。這是我們日常發生的狀況，各位看倌，那些功能真的發揮功能了嗎？未必！因為照相的時候還是數位相機好，記憶體容量大、可自動對焦、有閃光燈等；真的可以隨時看到「菜脯蛋」嗎？錯！除非再買同樣功能的手機給我的老爸，再買一台給我太座，才可能解決問題。

因此自己本身的需求及所購買的服務是否相符合，過多或是不足我想都不是適當的，唯有透過不同方式，讓自己清楚明瞭需求所在之時，才能作最適當的決定。另外一個重點，如何辨識顧問公司所提供服務品質差異？例如弱點掃描服務，市面上多的人可以提供此類的服務，從最陽春的使用工具，執行出所謂的弱點掃描報告，交給客戶，客戶自行看著辦；到從企業的風險角度，分析出支撐組織的關鍵性業務、辨識出重要的資產、找出這些重要資產所面臨的威脅與與弱點、計算出各項重要資訊資產的風險、找出適當的風險管理策略及實施作法。這樣的服務價格有可能從數仟元至數十萬元不等。因此，顧問提供的服務內容、執行的過程及最後的產出，組織是否清楚？就是能否要求顧問提供適當服務品質的關鍵。

結論
顧問走了之後，企業用戶應該如何應對？其實，這句問句有一種解釋是這樣的，「資訊安全專案結束後，組織的資訊安全怎麼辦？」好像顧問在，則安全在；顧問一離開之後，組織就無所適從？若我們從新思考一連串的問題，或許我們會更清楚這個問句的整體內涵。一是，組織是否需要資訊安全顧問？為什麼需要？其次是，資訊安全顧問的作用何在？想要資訊安全顧問為我們提供那些服務？達到哪些效果？第三是，資訊安全顧問執行完專案後，組織如何還需要資訊安全顧問嗎？ 組織內部，若將資訊安全管理視為專案來執行，一定會有專案的起點與終點，到達專案結束的那時刻，專案成員可能會有一些失落感，因為顧問的離開，就好像失去靠山一樣。因此，資訊安全的管理應該當成日常的作息一般，顧問的角色應該如同家庭醫師一般，這位醫師不會每天跟我們生活在一起，可是當我們有所疑問之時，他總是可以適當給我們一些合適的建議。

資訊安全顧問應該與家庭醫師的角色較為類似，資訊安全顧問對於客戶的組織文化、作業流程、人員都相當熟悉，若是那個環節產生了問題，顧問可以迅速進入狀況，瞭解問題後，進而提供適當的解決方案。因此，除非是更換顧問，否則顧問應該會像家庭醫師，應該會一直伴隨組織的成長，協助組織加強資訊安全的防護。

（本文作者現職為普華資安資深顧問）