在本次調查中,有六成的受訪者曾採用資安系統整合建置服務。其中高科技製造業的比例最高,是93%(圖1)。而部分政府單位受訪者則表示資安從建置到管理都是採用委外服務。
.jpg)
在電話採訪過程中,部分受訪者一開始表示不曾跟資安系統廠商合作,原因是認為廠商只是來安裝設定產品,沒有進一步提供「系統整合服務」。這顯示企業對於資安系統整合服務有不同的期待程度。在進一步問到,對於理想的資安SI廠商應該具備哪些條件時,專業技術能力、緊急應變支援快、具類似專案經驗與客戶實績為等能力最受使用者重視(圖2)。其條件可綜合歸納為以下四重點:
1.專業資安顧問規劃能力 Consulting
有6位橫跨政府、銀行、高科技、電子商務IT/資安部門主管共同指出選擇資安SI夥伴,應優先重視其是否具備顧問規劃能力,金融業特別重視。某中央政府機關資訊室主任表示,在資安的專案中,顧問整體規劃很重要,應該要把先期顧問服務加進來,再由顧問去搭配建議解決方案,如果是自己去找解決方案,很可能會沒看到隱藏背後的大問題。
某高科技大廠資安經理也認為應該先找顧問來做評估規劃,可惜許多SI都只專精某方面,僅能提供單點解決方案。某政府單位資訊部科長表示,自己沒有與資安SI配合,因為資安設備是各自分散建置,都是自己規劃,再找廠商來建。
某銀行資深資安專員有同樣看法,認為資安領域廣泛,目前找不到一家廠商能懂所有資安技術,除非先找管理顧問公司先做consulting,再找解決方案。某電子商務業者IT經理也同意,沒有一家能面面俱到,建議應該先把ISMS管理制度建立起來,打好基本基礎。也有受訪者建議外商大型SI在此方面表現不錯,可提供政策面專業的流程規劃,然而也被特別指出其收費並不便宜。
某線上購物CIO則認為,具備與營運流程面相關的顧問規劃能力,將來更顯重要。尤其,在談到與個資保護相關的專案時,企業會發生資料外洩的可能點是存在各個營運流程中。由此可見,企業對於SI廠商的顧問規劃能力有高度期待。
.jpg)
2.系統整合能力、資源完整度
資安不僅技術領域廣泛,在許多時候資安問題更與系統、軟體、硬體環環相扣。因此有半導體大廠CIO表示,在選擇資安SI夥伴會特別看重其技術能力完整性,不僅熟資安設備也要對系統軟、硬體技術都熟。因此他們的網路設備、網路安全設備都與同一家SI合作。另外一家證券公司資安負責人員則表示,挑選資安SI廠商的第一要件在於資源要充足,無論企業需要何種相關解決方案都能夠支援。
某政府機關資安組長則表示,他們沒有獨立的資安專案,資安需求都是跟其他主機硬體/網路設備合在一起,所以服務廠商需要具備較好的整合能力,而他們所推薦的資安服務廠商,也是因為資源整合能力強,在標案中可擔任大包商角色,會去統合其他下包廠商,例如將滲透測試專案分包出去。也有受訪者推薦業務人員的整合經驗豐富,很為客戶著想,會先在客戶提到需求的時候,就提出可能需要的整合、客製化。
SI大者恆大,尤其資源整合能力在大型SI明顯表現較佳。包括電信業、金融業、政府部門等6位IT主管都提到本土大型SI資源充足,容易取得較多資源,可有效解決問題。然而也因為是大公司、部門多,也有受訪者提到若部門整合度不夠好,所提供服務會重疊等服務品質問題。甚至有受訪者指出,自己要出來整合同一家SI的不同部門服務內容。
此外,也有某IT主管對於合作過的SI廠商都不予推荐,因為他對於SI廠商缺乏整合能力有深刻沉痛的經驗。他們之前想採購一個網頁過濾/網頁防護/弱點掃描/社交工程的整合服務,找了幾家SI廠商,他們搬來不同的獨立設備,每一套獨立運作都很好,但廠商卻沒辦法將這些設備整併在一起,彼此沒辦法串聯作進一步的分析,最後只能靠自己來,而這樣的結果恐怕談不上Total Solution。
3.業務/PM的積極協調能力
許多受訪者表示,一個資安專案能成功,業務或專案經理的態度很重要,尤其對政府部門來說特別明顯。某資訊室主任認為資安服務廠商不見得要找技術很強的,而是須具備整體協調能力,他也特別稱許某SI的專案經理不僅能與IT部門談技術,也能在導入ISMS時,與業務部門溝通,扮演顧問角色,溝通協調能力一流,他所推薦的是PM個人而不是公司。同樣地,另一名政府單位受訪者也表示,如果有服務很好的業務,甚至業務離職會跟著業務轉單。因為政府採購須要辦理招標、評選,如果有時採購專案漏掉一、兩樣品項,要辦理另案招標非常費事,因此會與協調能力好、保持彈性的廠商配合。然而,金融業情況則不同,不太會跟著業務換廠商,如果產品還在用就會繼續合作。此外,也可能因為怕被太多廠商知道銀行內部的架構增加風險,因此金融業不太會換廠商。
某公務機關資訊處科長也指出,他特別重視廠商PM是否能主動積極協助找到解決問題之道,而不是只回答產品無法做到,或者可以協助找到解決問題的廠商。也因此,有銀行業資安人員建議,PM要找至少有10年以上經驗的,才有能力找可配合的友商搭配出完整的解決方案。
4.人員穩定度
某銀行資安經理認為,現在的系統整合商大者恆大,要不就規模很小,銀行在挑選SI時的條件反而不是專業度,而是穩定度,所以比較會考量到人員的流動率問題(希望不要太高),以過去使用經驗來看,即使是最穩定的SI,派來支援的工程師都是一年就換了。在經濟不景氣的狀況之下,即使是原廠也會被併購,在併購過後如果企業還要續用產品,通常廠商會趁機拉抬價格,無論企業是否能續約或改用新產品,都需要過渡時期的規劃,而背後持續支援的SI人員,應該如何協住企業保持穩定運作,其整合、專業度也會很重要。
產業別對SI條件看重點不同
整體而言,在選擇資安SI廠商時,不同產業別有不同的重點評估項目。以政府部門而言,技術不是優先考慮重點,受訪者認為技術每家都差不多,且人員會流動,如果專案品質能控管好,就可以解決人員異動帶來的問題,因此政府部門首重廠商專案協調能力,也重視支援人力是否充裕;而金融業則重視顧問規劃Consulting能力,尤其在重要專案的開始,都要由顧問來做先期規劃;而高科技製造業則由於IT部門自己有技術人力/能力,因此常常是設備導入後就自己管理,因此選擇廠商傾向以技術為導向;電子商務流通服務業由於以Web專案為主,因此技術能力也是評估廠商的首重要點,包括重視類似專案的實績經驗。