買功能不買空殼 服務是資安系統的精隨
在我們接觸的諸多訪談之中，儘管有許多資訊人員相當關心資安的議題，但對於資訊安全的整體觀念或是技術，往往都還是處於摸索階段，在資安防禦系統裡佔有相當重要地位的資安服務，自然也常常被忽略掉。政府採購法當中的價格標 - 也就是以最低價格取決，可能造成的影響是造成服務品質低落，或不願降低服務品質的廠商因此不參與競標，但其實也有許多招標方式可供選擇，因為在前置過程較簡單的價格標，在後續給承辦單位帶來的麻煩卻不見得比較小。

資安服務認知落差 買硬體只買到空殼
關貿網路總經理暨資安促進會會長陳振楠認為，價格標對資安服務品質一定有程度上的影響，在採購跟技術是分開的狀況下，如果單純採取價格標的方式就會產生一些問題，例如說智財權的問題 ( 不使用原版軟體 )，在管理維護案的時候使用水貨或是 2 手貨。他以過去的經驗建議，可採用 POC ( Proof of Concepts ) 的方法來進行，也就是買方出題、賣方解答，可以找專家來評選賣方的對應策略，回答的最好的人才能優先議價，陳振楠說能夠找出回應買方需求且顯示出能力的賣家，自然在後續流程上較無爭議。

他認為資安服務的概念在國內依然是個問題，大家的認知是有落差的，許多使用者寧願去買一個硬體也不願去買服務，因為它看得見、摸得著。他們就曾接觸到某個航空儲運中心的客戶案例，資訊主管很誠實的告訴老闆：「 我唸書的時候，沒有資訊安全這個東西! 」

的確，對於一般的資訊人員來說，資安還是非常陌生的概念，在技術上可以提供的支援並不夠充足，而當然在觀念上也還是相當模糊，難免都會過去買電腦硬體的經驗來看待服務。陳振楠認為，沒有人可以告訴業者應該做什麼樣的防護，甚至是如何舉證來保護自己，在談 M 化、U 化之前，其實應該要先做的是 S 化 ( Security )，在政府單位多無人力支援的狀況下 ( 政府 IT 人力不足，甚至是兼職人力 )，業者選擇安全服務自保其實也是一種選擇方式。

對於什麼是服務? 陳振楠舉例，租用日本的 1 元手機就是一個實例，手機的租用非常低價，但是提供的服務卻是有價的，他曾與日本電信服務業者 KDDI 的執行長對談，發現日本人相當有服務概念，KDDI 執行長認為服務應該講求精緻化，才能提升客戶信賴度，市場才能無限大，付費數位音樂、電子書城等服務型態的商品都為 KDDI 帶來相當的效益。

與 1 元手機概念有些類似的是，目前有些廠商推出一些策略－送硬體，買服務。免費把硬體送給企業，若企業願意培養人才或擁有技術當然可以直接執行，但若需要廠商的服務也可以選擇性購買。這樣的動作正說明了，對於如何設定資安設備、制定 Policy，這類的服務才是真正有價的部份。