隨著資訊科技快速的進步,以及組織投入資訊設備的成本比以往增加,如何能夠快速因應科技的變化,並且能以較少的經費,達到預期的目標,都是高階主管和資訊單位所關注的事項。也正因為如此,資訊作業委外就開始逐漸形成一股風潮。
委外廠商的重要性日增
從早期的資料登打、應用程式委外開發,到近幾年資訊服務業務的委外、甚至於備援機房的建置,或是考量將資訊單位獨立出來,成為資訊服務供應商,都可以察覺到組織與委外廠商之間的關係已經越來越緊密了。同時,這幾年在談論資訊安全的議題時,也從以往對單位內部的控管,擴大到委外廠商的管理。不過,國內對於委外廠商要求或規範,相較於美國、新加坡等國家就顯得較為匱乏。
以「行政院所屬各機關資訊業務委外服務作業參考原則」來看,談的還是一個概括性的方向,目前很多單位,對於委外作業在意的,還是專案建置的時程與交付文件的內容,或是配合ISMS管理系統的建置,實施委外廠商人員門禁管制或進行教育訓練。但對於委外廠商的管理還是有限,更不要說對於委外廠商進行查核了。
針對委外稽核
提到委外廠商查核,許多人閃過的第一個想法,就是因為技術不懂,才會找委外廠商,自己都已經不夠專業了,那又如何能去查核委外廠商?在這裡,我們所定義的委外廠商查核,並不是指專門技術的查核,例如像公開金鑰、加解密方式的查核。而是特別針對委外廠商的營運與管理進行查核,尤其是與委外廠商所要交付我們的產品部分,或是與我們組織營運環節有關的流程。舉例來說,如果要找一個異地備援機房,當然就要著重在機房管理以及機房日常運作上面;若要找軟體外包廠商,就要注意程式撰寫方法及版本更新流程。簡單的說,就是要看看委外廠商實際怎麼做。
這樣一講,有些人又會提出第二個問題,當初就是因為人員不夠,工作量太多,才會想到將一部分業務委外出去,現在又增加了委外查核,不是把原先的工作量又拿回來嗎?然而所謂的委外查核,是要確保委外廠商依照所約定的各項規定加以執行,同時不能破壞單位現有的資訊業務,也因此,只有關鍵性業務,才會針對委外廠商進行查核。
在進行委外查核之前,從開始簽訂合約的時候就必須要告知對方,為了配合業務的需要,會進行委外查核作業,甚至每一年查核的頻率都要告知。雖說是要查核協力廠商的作業流程,卻也會發生對方廠商不願意配合查核的情形。
在進行查核之前,首先一定要確認的是,這家委外廠商所提供的服務,與我們單位的那些作業流程有關,我們會提供那些資料給廠商?而對方又會需要交付那些的文件或服務?這些基本訊息一定要知道。接下來就是針對不同的業務特性,去設計不同的委外查核程式。設計查核程式的目的,是為了讓進行委外查核的人員,能夠有一個依循的依據,更何況很多時候,進行查核的人員,並不是專業的稽核人員,一定要設計查核程式,不然到了委外廠商那,像個無頭蒼蠅一般,屆時廠商說些什麼就照單全收,查核作業就變成了單純的喝茶聊天。
量身訂做專屬查檢表
設計委外查核程式,也不是拿個ISO 27001的條文照單全收,或是從網路上找個查檢表就全部適用,針對委外查核程式,一定要重新調整過。最主要的依據就是依照自身行業別及業務特性的不同,可以說每一個查核程式,都是針對委外廠商量身訂做的。針對不同的業務性質,所關注的重點也就有所不同。以一般常見的資訊委外作業,所關注的重點大致區分以下幾類:
資料交換類
這一類型的資訊服務,都是將資料傳輸到委外廠商,由委外廠商進行後續處理的作業,例如市場行銷調查或是信用卡公司的紅利兌換,網路購物的配送作業等都是歸在這一類。有關這一類型的委外服務,進行查核作業時要特別要考慮以下幾點:
-
是否有超過合約規定以外的傳送/接收資料?要確認所交換的資料,避免將過多的資訊提供給委外服務廠商。
-
資料傳送/接收的方式為何?確保固定的傳送方式,同時這些傳送方式都加以控管或保護。
-
如何確保傳送資料的正確性?避免將不正確、不完整的資料加以傳送。
-
如何防止資料重複傳送?如果資料重複傳送,要有偵測的機制,以避免重複執行運作。
-
資料接收以後的後續作業程序為何?包含後續所執行的機器設備,以及在委外廠商內部資料的移轉,以防止其他人員可以取得資料。
-
資料保存的作業程序為何?避免藉由備份磁帶,將資料予以不當的保留。
-
資料銷毀的作業程序為何?避免因為資料的銷毀作業不當,導致資料外流。
應用程式開發類
這一類的資訊服務,是目前各單位使用最多的,包含了應用系統的規劃、設計、開發、測試、上線等。這一類型的委外服務,和我們內部程式開發所考慮的狀況較為類似,查核程式設計的重點如下:
-
所使用的語言為何?是否有訂定程式語言撰寫規範?目的是為了防止類似SQL Injection的情形發生,在程式開發的階段,就要避免類似的情況發生。
-
測試程式與正式上線的程式如何劃分?防止廠商直接在正式作業環境修改程式。
-
版本控管的方式為何?為了確保所提供的版本是最新的版本,同時是與組織內所使用的版本相同。
-
測試程式時是否會使用到真實的資料?考慮資料控管以及後續銷毀的問題。
-
程式正式上線的程序為何?避免程式不當的更新,或程式更新後無法正確執行。
資訊服務類
資訊服務類涵蓋的範圍非常大,從硬體設備的維修、網路流量的監控,乃至於入侵偵測、弱點掃描,都可以包括在這個領域裡面。一般性的考量,大多還是在權限控管,包括:
-
委外廠商所擁有的權限如何?為了避免廠商擁有過大的權限。
-
權限控管的程序為何?包括定期變更密碼、權限的移轉、刪除作業,權限清查作業等。
-
最高權限執行的內容為何?確保使用最高權限均是執行授權的業務。
-
人員教育訓練為何?避免技術過度集中與特定人員上,一旦人員其他人員無法立即銜接。
-
是否可以逕行使用遠端連線的功能?防止人員未經授權就能從遠端登入。
機房管理類
包括異地備援機房的使用,或是主機代管作業,除了一般實體安全會考量的門禁管制、環境控管外,主要還包括:
-
機器設備控管的制度為何?是否除了委外廠商的人員,還有其他人員可以接觸或使用到單位的機器設備。
-
電力控管的制度為何?是否考量同一機櫃上電流負載的狀況,以及整棟建築物電流供應的情形。
-
人員監控及異常通報的流程?確保機器設備均有適當的監控,如有意外狀況發生時,能夠有效的通報相關人員。
-
委外廠商的業務持續計畫為何?是否會因為委外廠商遇到突發狀況時,而影響到組織原本正常的運作。
結論:
除了上面這些共同性要考量的因素外,還要根據合約的內容加以修正,以便完整的產生委外廠商的查核程式。要記得一點,這些查核程式是要到對方現場實地去看的,不要怕麻煩,覺得只要透過電子郵件或傳真交給對方,請廠商填一下就好了。
在到達對方現場時,請牢記一個觀念,你所查核的都是要與你自身企業有關的部分,不要認為自己是高高在上,連不該過問的業務機密都要找機會去打聽。更不要只是去問是不是、有沒有這些封閉式的問題,然後把查檢表全部勾選完之後就走人。多利用開放式的問題,何時?何地?什麼人?如何做?做那些?並且把所聽到的流程,完整的記錄起來。
這些資料,不光是多瞭解委外廠商,同時也是判斷廠商是否有依照合約執行,以及爾後年度是否繼續續約,還有未來改進的方向。查核當中如果有任何的發現,一定要和委外廠商溝通清楚,組織希望要配合的項目,以及所要達到的理想狀態。如果只是為了交差了事,做做表面功夫,那就失去了委外查核真正的用意了。
本文作者為資安管理顧問