資安驗證帶動顧問服務市場群雄並起共享市場商機

這些年來，顧問服務市場呈現蓬勃發展的態勢，可從這次iSecuTech Taipei 2005顧問服務業者的積極參與看出一斑，基本上，我們可以把顧問服務相關廠商與單位的類型分成幾大類，一是以會計師事務所為背景的顧問服務公司，如四大會計師事務所──勤業、致遠／安永、資誠、安侯等，還有以系統整合、產品銷售起家的顧問服務公司，如宏瞻等，以及以提供整體解決方案的國際級大企業，如IBM、HP等，此外，負責標準驗證、稽核的BSi、SGS也跟整個顧問服務市場有著共存共榮的關係，這些顧問服務相關單位，為台灣廠商在導入資訊安全應用的過程中，共同提供了寶貴的建議與服務。
顧問業大者恆大　以應用領域區隔市場
在顧問業中有一個有趣的現象，那就是雖然每家顧問服務業者都希望能夠跨不同產業別來開拓客戶層面，也就是政府、金融、高科技等幾個主要有意願導入BS7799的產業別都是每家顧問服務業者所要爭取的客戶族群，但是實際的狀況是：每家顧問公司都各自有其專精的領域，當然在他們的客戶群中還是會有跨產業的現象，但可以發現一定會有特定領域的客戶特別多，這是因為客戶在選擇顧問服務公司時，多少會參考這家公司是否有做過相同產業的顧問服務工作（Reference Site），如果有，自然會被優先列在候選名單之中。
勤業眾信會計師事務所副總經理萬幼筠表示：「勤業眾信目前主要的客戶在金融業，至少有22家成功案例，此外高科技與政府也各有接近10家的客戶，每年都已超過35%的速度成長，勤業眾信能夠有這麼好的表現，在於組織人力與經驗相當豐富，負責過的專案經驗較多，很多顧問都擁有國外的工作經驗，結合全球性的知識庫，能夠提供客戶最完整的顧問輔導工作，因此雖然勤業的顧問服務收費並不低，但仍然有不錯的業績表現。」勤業眾信經理李逸元博士也強調：「勤業眾信的顧問群願意花時間去了解客戶，小組中的成員背景差異較大，可以進行內部經驗分享，此外在進行輔導時，也與客戶有很好的互動，相互交換心得與經驗，經驗的累積快速。此外，勤業有很多很好的評估分析工具，技術專業性強，對產業知識的了解也較深。」
安永顧問公司的主要客戶集中在政府單位，安永管理顧問公司企業風險管理部專案經理陳冠宇表示：「安永的客戶包括自來水處、宜蘭縣網路中心、地政司等，目前以政府專案為主，金融與其他民間企業則是重點發展方向。除了進行顧問輔導之外，安永可以提供跨組的支援，並在技術面上提供一些網路工具，能夠協助客戶進行弱點評估、電子商務的滲透測試等，無論是在管理面或是技術面，都能夠提供客戶必要的支援，但重點並不在銷售這些軟體工具，而是以客戶服務為主。」安永專案經理李永強也表示：「在BS7799顧問輔導中，管理的部分約佔70%，技術則佔30%，資安管理必須結合流程管理與文件控制等，才能夠完整顧問輔導上，必須協助客戶做工作流程、文件控管等工作，藉由安永的Easy Audit電腦輔助查核系統，可以提供客戶在業務與財務作業上的稽核輔助。」
資誠企管顧問也是將應用領域著重在政府市場，拿下了出入境管理局、健保局等具指標意義的案子，資誠價值管理服務部專案經理李盈德表示：「資誠的特色在於對輔導品質的重視，以及顧問的素質高，在顧問團隊中具有相當多資深人員，由於資誠的團隊相當穩定，輔導的品質好，因此在業界有相當不錯的口碑。目前資誠輔導的單位以政府機關較多，對於民間單位會開始積極切入。」
面對顧問服務業大者恆大趨勢，安侯企管公司資訊風險管理服務協理黃承聖表示：「顧問服務業將走向大者恆大、多者恆多趨勢，這是因為有經驗的顧問服務公司會更受到新客戶的信任，目前四大會計師事務所大多不會去碰價格標的案子，會強調顧問的輔導品質來獲得客戶的青睞。」
相信在許多人印象中，IBM在金融領域有相當傑出的表現，IBM全球服務整合資訊服務部經理定正偉表示：「事實上，IBM在科技業也有相當多成功案例，許多大型的半導體廠商都是IBM的顧問服務客戶，所以應該說IBM在製造業也有相當不錯表現。」
早期以軟體開發、外銷的宏瞻資訊，目前主力在系統整合方面業務，不過，宏瞻也在顧問服務市場扮演積極的角色，宏瞻顧問服務處協理張美月表示：「宏瞻在2002年便已經全公司全條款地通過BS7799驗證，也是台灣及東南亞第一家通過ISO-9001驗證的資訊服務公司，自己本身便有實際BS7799導入的經驗，是少數具有建置跟維運經驗的顧問輔導公司，能夠了解客戶在導入過程中所面對問題。此外，宏瞻的顧問團隊的經驗豐富、資歷深，顧問的資歷都已經有超過11年的資安專業經驗，宏瞻並與德國TUV Nord策略聯盟，技術持續更新，以維持競爭優勢。」目前宏瞻的主要客戶對象集中在政府機關，如總統府、新聞局、台灣鐵路公司等。宏瞻張美月強調：「宏瞻的系統整合與顧問輔導是不同的事業單位，彼此間不會相互影響，但卻可以彼此分享經驗。」

提供全面解決方案　強化資安基礎建設
有部分的顧問服務業者也提供產品的銷售服務，因此其公正與客觀性有時會受到一些質疑，究竟這種類型的顧問服務業者，就真的比較不客觀嗎？IBM定正偉表示：「IBM IGS（IBM Global Service）部門是完全產品中立的，在業務推廣上考慮的是客戶需要什麼產品，而不是我們有什麼產品可以賣給客戶，這種心態上的改變，讓IBM會以客戶的意見為主要考量，提供最適合客戶需求的產品。」
在解決方案方面，IBM也可滿足客戶的需求，IBM定正偉表示：「IBM能夠提供評估、計畫、設計、建置、執行等全面性服務，可以協助客戶進行企業資安健診與架構規劃、BS7799/CNS17800導入顧問服務、身份認證與權限管理、資安基礎建設、安全監控中心（SOC）代管、持續營運及災難備援服務等，IBM可以協助客戶以最快的速度建構資安整體解決方案。」
HP也是以提供完整系統服務的國際級大廠，惠普科技企業系統事業群技術規劃處技術顧問張奕駿表示：「HP能夠提供給客戶全面性的解決方案，這套解決方案是由內而外的方式建立，其中包括可協助企業與商務的安全性、安全規劃與監督、值得信賴的基礎建設、身份與存取控管與安全管理等。」
從產品與技術的發展角度來看，張奕駿表示：「HP能夠提供從客戶端到伺服器端的資安解決方案，在客戶端提供了硬碟保護鎖，以及從BIOS層次便支援Smart Card技術，能夠保護隨身資訊設備如PDA、筆記型電腦的安全，HP還提供將私鑰放到晶片中的PKI解決方案，可在作業系統層面上進行憑證管理，以確保資料的私密性與完整性。此外，HP也在伺服器端提供完整的安全管理系統，系統設置方便，透過一層一層的保護，將所有安全漏洞都補上去。在無線通訊方面，HP也與CISCO合作，結合後端的LEAP技術來確認身份，HP甚至還提供印表機結合Smart Card來進行列印出來的資訊控管，全面性地提供完整的資安解決方案。」

市場大餅看似成長　但競爭也相對加劇
從負責驗證BS7799資格的稽核單位來看顧問服務市場，其立場與觀點將更加地超然與中立，BSi大中國地區訓練經理蒲樹盛認為：「資安並不僅是著重在技術面，管理面、制度面也相當重要。由於BSi是BS7799標準的制定者，因此會更重視招牌（形象）的維護，對於BS7799的稽核標準很嚴謹，稽核工作從不外包，雖然稽核很嚴格，但卻得到被稽核單位的肯定，這是因為取得BS7799驗證的目的並不僅是在於那張證書，而是被稽核單位是否能夠真正從過程中改善整體的作業流程與制度，提升企業的資安體質。在稽核的過程中，BSi還會提供專業上的附加價值，提醒被稽核單位該注意改善哪些事項。」面對顧問服務與驗證相關市場的未來發展，蒲樹盛認為：「目前市場的延續性很難評估，比較擔心的是供過於求後發生劣幣逐良幣的現象發生，BSi將透過各種管道，持續宣導正確的顧問輔導觀念。」
同樣也屬於BS7799驗證單位的SGS，屬於較晚切入BS7799驗證服務的公司，但是其已經在ISO9000、ISO14000、QS9000等驗證服務市場經營多年。SGS國際驗證服務部副總裁黃世忠表示：「SGS是世界上最大的驗證公司，除了標準驗證外還有產品檢驗服務，SGS於1991年初便在台灣引進ISO9000主導稽核員，以經擁有悠久的歷史，在台灣的本土化也較強，自主性較高，對產業的了解也較深，雖然SGS在BS7799驗證的起步較晚，但跟上的速度相當快，並可以同時發BS7799/CNS17800雙證，這是SGS的優勢之一。」SGS專案主任呂敏誠也表示：「SGS有自己的IT部門，對IT產業的了解相當深入，擁有宏觀的視野，能夠從旁協助客戶改善自己的競爭力。」
面對當前顧問服務市場面臨的價格競爭，安永陳冠宇表示：「目前顧問輔導的市場行情很亂，但品質好壞才是重要關鍵，必須教育客戶驗證要的不是證書，而是實質的資訊控管流程與標準。」SGS黃世忠也認為：「許多企業接受輔導並不是為了驗證，而是為了進行內部的資安保護，這是相當正確的觀念。」
資誠李盈德表示：「民間單位進行BS7799認證重在實質的管理面成效，而非只是為了取得驗證，是以業務面切入，以滿足營運目標為目標，顧問須在規範與成本之間取得平衡點，從整體的角度協助客戶做風險管理。由於政府市場擴大，因此對於顧問市場樂觀，但客戶除了重視價格之外，也要了解顧問的素質相當重要，慎選合適的顧問服務團隊。」
宏瞻張美月表示：「對未來顧問輔導市場相當看好，但也擔心市場上出現價格破壞者，影響市場秩序，目前宏瞻客戶主要以政府為主，但相信民間也會開始重視，積極導入BS7799，則市場規模才會進一步擴大。」
安侯資訊風險管理服務經理謝昀澤表示：「最近的BS7799教育訓練市場顯的比較冷清，主要可能因為政府推動的A、B級單位導入BS7799的熱潮已經逐漸降溫，目前要導入的都是比較小型的案子。安侯將採取大小案子通吃的策略，針對不同客戶的等級進行不同的規劃，將以往累積的經驗針對客戶的需求進行調整，讓小專案也可以做的又快又好。」

結語
從這麼多顧問服務業者積極參與iSecuTech Taipei 2005的現象來看，可見眾多廠商都看好資安顧問服務市場的發展，但在投入者眾，以及許多想做且有必要做的客戶都已經導入之後，在面臨著市場競爭加劇、專案規模縮小的現象，顧問服務業者想在台灣這個相對規模較小的市場中獲得生機，只有不斷提升企業的資安意識，積極將顧問服務市場從以往的政府、金融、高科技行業，拓展到更多的產業別，因為就算是傳統產業也都有其核心資產需要保護，也需要一套完善的應變計畫，以確保企業能夠永續經營，則顧問服務市場的發展才能夠更進一步的提升。