再過5個月,政府的A級單位就必須完成資安監控中心的建置工作。不少政府單位與民間企業,面臨諸如此類的法令規範,都在逐步增建資安監控中心(Security Operation Center,SOC)。而以往一直讓企業倍感困擾的抉擇問題:自行建置或全盤委外,則有了另一種兼顧的做法出現。
行政院研考會資訊管理處處長何全德表示,對於A級單位執行SOC以及取得相關資安認證,政府政策不會有所改變,在今年底之前,所有政府A級單位必須符合這些政策規範。
臺灣郵政是第一個完成資安監控中心委外的A級單位,臺灣郵政資訊處長呂平佑表示,公家機關的資訊人力普遍不足,藉由資安監控中心委外可以解決這個問題。過去2年來,臺灣郵政在落實每月完整的綜合評估報告和每半年的檢討會之下,已經循序漸進的改善臺灣郵政的資安環境。呂平佑說:「這兩年下來,駭客入侵成功的比例已經降到最低,這樣的成效驅使臺灣郵政持續進行資安監控委外。」
中華電信網際網路處指出,政府機關和金融業,採取全權委託SOC代管的比例有增高的趨勢,其他行業並不明顯。臺灣網威(Novell)總經理陳學智表示,高科技製造業為了要配合國外廠商,必須符合相關資安法規的規範──如美國的沙賓法案(Sarbans-Oxley Act),自年初開始,建置資安監控中心的數量逐漸在增加。
除了自建資安監控中心與採取委外服務,目前還有一種協同維運、分時代管的型態出現。陳學智表示,某些政府部門採取上班時間由IT部門自己監控,下班時間或假期,則委託SOC監控服務廠商負責。關貿網路營運服務部經理葉福基認為,協同維運、分時代管的資安監控模式,在資安事件處置的責任歸屬上容易有爭議。
宏碁eDC安全技術與管理處長顧寶裕認為:「未來,不論企業採取資安監控全盤委外代管或協同維運、分時代管的模式,在數量上都會遠超過企業自建資安監控中心。」他表示,資安監控人力的補充是長期營運的關鍵。企業稍加訓練網管人員,或可維持全天候第一線的資安事件監控與處理,但完整的SOC機制還必須包含位處第二線與第三線的資安事件分析、鑑識人員,然而企業普遍缺乏SOC服務廠商必備的此類資安專業人才。
「資安是信任的產業,」顧寶裕表示,只有在充分信任之下,企業才會願意將委外監控管理的權限範圍進一步擴大。他今年到美國考察發現,近7成大企業願意將資安監控的權限大幅委由SOC廠商處理,他說:「甚至SOC服務廠商還可以透過跳板主機,立即為代管企業處理資安事件。」文⊙黃彥棻
|
不同SOC型態比較表 |
|||
| 自建SOC | SOC委外 | 協同維運、分時代管 | |
| 主要內涵 | 由企業自行採購設備,並由IT部門同仁負責24×7資安監控 | 提供企業監控設備,SOC再從遠端進行資安監控事宜 | 自行執行掃瞄,委由SOC作報表解讀與分析 |
| 優點 | 若具有高度機密性單位,可以獲得較高的安全保障 | 簽約付年費或月費,不必承擔硬體採購與人力成本,建置費用較低 | 兼具資安自主性,又能擁有SOC專業分析能力 |
| 缺點 | 需要大量且專業的資安監控與分析、鑑識人力 | 記錄都在SOC,對資安事件掌控多處於被動狀態 | SOC同仁只負責報表解讀,需仰賴企業內資安同仁做企業資安分析 |
| 資料來源:各廠商,iThome整理,2007年8月 | |||
|
SOC委外廠商評選參考表 |
|
| 評選參考 | 參考說明 |
| ISO 9001 | 通過ISO 9001驗證的廠商可有較穩定的服務品質,可確保服務達一定之水準。 |
| ISO 27001 | 通過ISO 27001驗證的廠商,有較佳的資訊安全管理能力,可確保委外廠商有能力保護業務執行中 接觸到的機關機密資訊。 |
| ISO 20000 | 通過ISO 20000驗証的廠商,對於資訊系統服務有較佳的管理能力以及持續改善其系統維運的能力。 |
| 過去成功案例 | 透過過去成功案例可了解委外廠商是否具備滿足客戶需求的能力。 |
| SOC人員證照 | 透過SOC人員證照可了解委外廠商人力資源的專業能力。 |
| 資料來源:行政院研考會SOC參考指引,2007年8月 | |
熱門新聞
2026-01-23
2026-01-23
2026-01-23
2026-01-23
2026-01-23
2026-01-23