堅持品質，資安服務的一股清流 －專訪BSi大中國地區訓練經理蒲樹盛

堅定顧問角色絕不同流合污
一開始蒲樹盛就提及自身對於從事顧問服務的想法，既然BSi制訂各項的安全規範，自己又身為BSi的一份子，自然希望使用者能夠藉由這些規範讓資安管理做的更好，因此會透過不斷宣導和訓練將安全觀念深植群眾，但要讓使用者與廠商明瞭驗證重要性得經由時間累積來達成宣傳與推動的效果，一如ISO 9000經歷二十多年推動才有幾十萬家廠商通過驗證，何況BS7799是3～5年內才逐漸被重視（目前全世界通過BS7799驗證僅1214左右）。此外，既然自身扮演驗證把關者的角色，驗證過程一定會堅持安全品質，否則將造成驗證浮濫的情況，蒲樹盛一再重申，身為顧問角色一定不會為了業績多寡而存有搶標心態，更不會讓導入廠商隨便就取得驗證，此一理念就是要讓台灣資安顧問服務的競爭力能追上國際。但總得有人不會為了自身利益才想投入，且以一種打造良好台灣資安環境的心態將國外較好的資安觀點即早引進。
此一觀點正反應了達賴喇嘛所言：「人生的成就是有其『利他性』。」許多價值本身就是無形的，人生不應該只為了一份收入，最重要的是獲得多數人的肯定，只要所提供的服務能夠造成許多人的共鳴，其中的價值自然就會浮現，這是有別於只在乎實質收益的做法。蒲樹盛強調，誠如許多學生會將其論文寄送來請幫其閱覽，或許將佔用自己額外的時間，基於一份從內心就喜歡這份工作的態度，因此非常樂意協助學生處理各類問題，當然也以此觀點來鼓勵同事、學員。

以顧問角色提出資安問題癥結
但從市場、使用者和服務提供者等面向，蒲樹盛發現了令人擔憂的現象，在某些因素下，企業會被要求導入驗證，例如可能來自上層主管、客戶和內部管理等因素，被迫導入驗證單位也將產生不同反應，其一、想辦法隨便做樣子取得驗證，這種是不可能長期通過認證的；其二、針對員工做訓練必須聘請顧問服務公司，也是當前顧問服務廠商所競相爭食的大餅，導致以價格競標往往降低取得驗證的品質，例如顧問廠商可能因經費考量，延攬資歷較淺的稽核人員；其三、有關專業層面，通常客戶會要求產品提供者在銷售之餘也要提供BS7799驗證服務，就是要求一個合約到底的心態，但其實一般銷售軟、硬體的廠商是沒有能力輔導客戶取得BS7799驗證，可是往往為了達成銷售目的，就會轉包給其他廠商來進行導入工作，導致品質相對毫無保障可言，值得一提的，在惡性競爭情況下，品質與價格往往相差至3倍以上。演變結果只剩下少數能堅持品質的顧問公司，其餘多數都將導致認證品質參差不齊，可預見的是資安顧問服務扮演角色將快速遭受毀壞。
至於政府資安運作問題如同上述一般，包括自我認知、資源充足等，舉例來說，假若沒有資金或人力，政府又怎能要求C級單位也都要通過BS7799驗證呢？蒲樹盛再三表示，其實許多政府單位人員是非常認真做事的，但礙於資源因素，只能選擇較重要的部分來執行。另外，技術專業性也是一項難題，政府多會以學者來提供相關顧問，但是否所有人都適合擔任仍存有疑問，甚至有些學者認為：「台灣的資安市場都被國外賺走了。」這樣觀點其實是有問題，何況國外有好的技術本來就應該參考和應用才能讓國內的資安更廣為推展。

自身宣導資安觀念讓安全更鞏固
基於上述內容，導正廠商資安觀點就顯得十分重要，一如資訊安全不應只是IT部門的工作，而是全公司都必須共同協助的，否則一旦企業內部發生資料竊取事件時，難道這都是IT部門必須全部承擔嗎？資訊安全必須兼顧許多層面的對應方式，蒲樹盛舉了實際情況來說，其實資訊安全的「資訊」兩字在IT產業是指MIS，事實上日本稱為「情報」，在中國則稱為「信息」，由此可知資訊安全所觸及的範圍是非常廣泛的，包括企業各類有形與無形的資產等。相較於日本推動驗證的氣勢是滿強的，台灣政府與廠商對於資安觀念與技術建構仍有滿大的努力空間，而這類資安觀念也是必須大力推廣的。
蒲樹盛認為，首先必須著重「管理階層的認知」方面，基於管理者的錯誤決策或資源分配不均等因素都將造成資安重大危機，舉例來說，每年度公司都對IT系統編列固定預算，因此多數管理者都存有不需資安人員的觀點，蒲樹盛想要提醒大眾：「IT系統只是解決問題的工具，資訊安全真正的關鍵仍然取決於管理階層是否具備正確認知。」其次有關「使用者認知」層面，縱使IT人員嚴格控管資料傳輸，如果企業員工沒有保護資產的觀念，再周嚴的管制措施都無法杜絕資料外洩；最後有關「系統人員認知」，安全措施仍需由IT系統人員以專業課程進行訓練，讓使用者可以明瞭如何確保資料的安全性，諸如權限控管、身份認證等。而上述這三個層面是必須同時兼顧，決不可只著重其中一、二個層面。此外，有鑑於目前資安事件層出不窮，舉凡網路詐欺、家人、朋友和個人的資料安全，蒲樹盛提出值得深思的看法：「將資訊安全的概念逐步生活化是非常重要的。」唯有將安全觀念生活化，成為日常生活的一部分，否則提供再多的資安保密、防禦等工具，都將無法有效阻止網路資安事件繼續蔓延。

後記
幸運的是，由於自身具備IT與電子工程相關經驗的背景基礎下，因此進入BSi已經有8年（BSi在台灣已成立10年），但蒲樹盛強調，也許有人會認為想要投身顧問服務領域是非常困難的，這樣的觀點其實並不太正確的，基本上具備資訊、電子相關學經歷等背景固然比較好，可是無論有無資訊領域背景，新進人員都必須接受相關顧問服務的教育訓練，所以其實不一定要有資訊、電子相關學經歷才能來從事此類工作，反而只要能認同顧問服務的價值，且有濃厚興趣者都可以加入，共同為整個台灣的資訊安全環境發展來努力。