https://www.informationsecurity.com.tw/seminar/2021twcert/
https://www.informationsecurity.com.tw/seminar/2021twcert/

觀點

如何面對客戶的資安稽核

2009 / 02 / 27
Justin
如何面對客戶的資安稽核
客戶前來稽核原因百種,有些是希望與公司建立長期合作關係、或想確保整體資訊與溝通的安全性;不要將客戶稽核,視為一種負擔。

「客戶稽核來了!」每當聽到客戶要來稽核,公司往往如臨大敵似的嚴陣以待,無論客戶想了解的是什麼,總會調派各專業的大內高手來迎戰。但是在客戶來之前,公司是否會先進行內部討論或甚至是直接詢問客戶,就客戶來稽核的緣由進行了解呢?
其實多數的企業都把客戶稽核視為常態,並且花費較多的心力在如何避免客戶稽核產生缺失上面,而忽略了客戶真正的來由與目的,最終還是沒有真正了解客戶所提出的疑問,且勞師動眾的結果,也沒能提供客戶滿意的答覆。如果事前能與客戶有良好的溝通,了解稽核的目的,針對不同的情況做適當的處置,不但可以減少許多人力與時間浪費,更可以在這個過程中獲得許多的成長與客戶的信賴。

為什麼客戶會來稽核?
在台灣提供代工的製造業不在少數,許多產品的競爭對手可能都委託同一廠商提供代工服務,而在競爭激烈的市場環境中,訂單數量、供貨的客戶甚至代工的價格等,想必都是競爭對手極力想得知的資訊,如果代工廠商對於資訊的保護不足,造成競爭對手互相知悉對方的生產、供貨以及價格資訊,勢必可能影響公平競爭的原則。因此,這些代工業者如何保護顧客的資訊,往往是客戶提出資安稽核要求的主要原因之一。
而客戶對於資安上的稽核並非都是負面的,有可能僅是單純希望與公司建立起長期的合作,而為了加強往來的緊密度,所以前來進行資安管控上的了解。除此之外,客戶亦可能本身已具備完善的資安控管佈建,希望能同時提升供應商的資安控管能力,有效確保整體資訊與溝通的安全性,因而提出稽核的要求,以便於提出相關的改善建議。倘若是因為公司發生嚴重的資安事件,導致客戶有所疑慮而前來了解時,也應坦承向客戶說明問題的產生原因、公司的因應方式,以及如何預防再發的措施,而有資安的負面消息時,也應備妥適當的佐證並向客戶解釋,以便讓客戶安心。
對公司來說維持良好的客戶關係是不容輕忽的,客戶對於資訊安全的重視,相信對於公司在資安的推動上,也會具有一定程度的影響,當然也會喚起經營者以及高階主管們對於資安的重視,但其實無論客戶是否重視資訊安全,公司保護客戶的資訊本來就是責無旁貸,況且資訊的洩漏可能讓公司招致不必要的訴訟、賠償,甚至影響公司的聲譽,絕對得不償失。

面對客戶稽核應有的觀念
雖然與客戶之間的合作關係是建立於相互信任的基礎上,但為了確保稽核作業的執行有所依據,應與客戶之合作往來的合約上明訂保留稽核權的相關協定,並視公司環境與營運情形,提出適當的規範以及權利責任的告知,日後客戶若有提出稽核的要求,則可依據此規範以及協定之內容來進行稽核的作業,而在客戶稽核的過程中,雙方仍必須遵守相互之間所簽訂之保密協定,以保障雙方的權利與義務。
當客戶進行資安方面的稽核時,往往會要求提供許多的資料,公司是否可以有求必應呢?答案絕對是否定的,並非完全不提供任何資訊給客戶,而是公司對於資訊資產本身就必須明訂其風險等級,就算是客戶的要求也應遵照公司的規定來辦理,除非是可對外公開的資訊,否則所有極機密甚至僅供內部使用的資訊,絕對不可以任意提供給客戶。
稽核的過程中,客戶可能確實需要相關的參考資訊,但亦可能藉此測試公司對於資訊保護的敏感度,確認公司是否會因為考慮不影響客戶關係而違反規定,如果有該情形發生,則表示公司也可能對於其他客戶採取相同的應對方式,如此,客戶怎麼可能放心與公司繼續合作下去呢?所以無論對象是誰,均須依規定辦理,當有必要需提供內部使用的資訊給客戶參考時,也應取得高階主管的核准,並僅能提供紙本給客戶於現場查閱,於稽核結束後亦須確實繳回。

主動積極 化解預期心理

如果依據公司規定,不任意提供資料給客戶,那我們該如何讓客戶了解公司現有的資訊安全管理與相關的防護現況呢?
其實如同公司簡介一樣,雖然公司的技術與報價等等,可能都屬機密資訊,不可任意公開,但仍可以說明公司有多少人力與設備、主要產品是什麼、可以提供品質保證、公司有取得哪些認證等,針對資訊安全的簡介,亦可以將資訊安全分為「資訊安全管理」與「資訊安全控制」,針對此2個部分來概述整體資安環境與控制現況,例如在資訊安全管理方面,可以針對下列各重點概要說明現況:
1. 資訊安全的組織與運作情形。
2. 資訊安全政策規範的範圍與重點。
3. 資訊安全的風險評估執行概況。
4. 資訊安全認證的取得與維護。
5. 定期的資安觀念教育訓練。
在資訊安全控制的部分,則可以說明重點控制的項目與方法,包含如:
1. 資訊資產分類的現況與相關的控制,例如:機密資料傳輸的加密、紙本傳輸此彌封袋等。
2. 實體與進出安全的管控機制,例如:禁帶筆記型電腦、可攜式儲存媒體等。
3. 說明有哪些網路安全控制,例如:有設置防火牆、入侵偵測/防護、防毒系統、Proxy網頁管制、B2B採用VPN等。
4. 密碼規則與政策,例如:密碼長度、複雜度、定期修改等等的規定標準。
當然,並不是必須把所有的細節都巨細靡遺的向客戶說明,只需掌握重點,合理、主動且積極的來說明,藉由管理面到控制面的佈署,讓客戶了解公司現有的資安概況,藉此除了可以化解客戶的預期心理,也可充分讓客戶安心,而若有任何不足的地方,也主動表明改進的積極態度,同時說明現有的瓶頸與阻礙,取得客戶的體諒,相信主動積極且誠懇的態度,對於原本可能氣氛凝重的稽核作業也會有非常好的緩和效果。

客戶關注的重點是什麼?
客戶來稽核並非只是想了解公司在資訊安全上的整體概況,更重要的是想要了解公司如何保護他們的資訊,而要具體且完整說明客戶資訊的保護,最簡單的方式就是以客戶端為起點,追蹤所有資訊的流向,並繪出資訊流程圖( Information Flow ),再針對「各個節點的處理」以及「資訊傳遞過程」的控制與保護措施來說明公司如何保護客戶的資訊。
具體來說,在各個節點的處理上,是否考慮資料的正確性並進行驗證機制?是否有備份機制來加強可用性?是否有適當的授權與職能分工,並有良好的制衡機制?而在傳輸過程上,提供了什麼樣的加密機制?加密的程度為何?若為紙本文件的傳遞,是否有彌封袋的保護?等等的控制,以上這些都會是客戶所關注的重點。
因此,除了主動向客戶說明資訊安全整備的概況,讓客戶安心之外,更要具體說明公司如何保護客戶的資訊,掌握客戶所關注的重點,才能真正使客戶放心。

對應客戶稽核的小技巧
除了在稽核內容的細節必須要有充分的準備之外,亦應尋求專業人員來對應客戶的稽核,確保面對客戶的專業形象,並且還要注意對應的人員是否充分了解公司的現況,最好能請資深的專業人員參與客戶稽核,才能避免產生一問三不知的窘境。
而對於客戶的問題也應誠實回覆,如遇不知悉的事情,要即時尋找對的窗口來回答,切勿任意答覆與現行作業不符的管理或控制活動,並避免誇大解釋,造成客戶的不信任與質疑。同時,就客戶詢問的問題點,應掌握重點來回答,並注意回覆的效率與效果,避免因過多的贅言與不相干的說明,造成客戶的誤會。基本上,對客戶的要求不應付、不增加無謂的負擔、不完善就改,掌握幾個大方向的原則,相信面對客戶的稽核,絕對比想像中來得容易。

正面看待客戶稽核
稽核的過程不僅僅只是單方面由客戶來了解我們的資安現況,受稽核的公司亦可以主動詢問客戶在資安佈建上的經驗,並針對執行上遇到瓶頸來與客戶分享討論,也許客戶可以提供許多有用的經驗與資訊給公司,藉此也可以減少公司許多Try and error的時間與人力資源上的浪費。
其實絕大多數的企業都會認為客戶來稽核是「麻煩」或「負擔」,相信每件事都會有正反兩面,只是端看你如何去看待它,如果能夠轉換心態,將客戶稽核視為「甜蜜的負擔」,這何嘗不是一件好事。