iThome2004企業資訊安全大調查資安現況篇(上)─委外服務漸趨成熟

為什麼資訊安全需要委外呢？因為資訊安全是具有一定難度的工作，需要專業人力花費一定時間才能完成。以攻擊分析評估為例，一個月的統計報表約需要花費兩周的時間才能夠完成。

此外，報表分析不但需要專業的資安背景和經驗，還要了解各種攻擊與發生的原因，才能夠對症下藥，即使企業想要自行分析，恐怕還找不到合適的人才。

在我們的調查中，65.6%的企業是全部自己來負責資訊安全管理，只有4.6%是採用全部委外服務，22.7%的企業則是部分採用委外，部分自行管理，這一群企業中，金融（47.3%）、政府（36.5%）及服務（32.1%）分居前三名。

這樣的結果表示目前多數臺灣企業仍然自行管理資訊安全工作，不過部分採用資安委外、部分自行管理的企業也佔了22.7%，表示資安委外是有向上發展的空間。

許多企業早已認定委外服務是必須的，他們應該專心於核心業務，不該將時間浪費在資訊安全上面，也就是說，企業應該專心在本業上，把非核心的業務外包給其他廠商。

金融業採用部分資安委外的部分較高，因為他們必須符合較嚴格的資安規範，而且為了符合巴賽爾協定，在成本精算後，採行部分委外是最佳的作法。

而且也因為電信與金融涉及較為敏感的用戶資料，有關用戶資料的部分自然不可能委外管理，但是系統、網路或報表分析等部分，則開始交由相關資安廠商處理，部分技術門檻較高的工作委由廠商負責。

許多企業的資安委外並非安控委外，而是作業委外的安控，例如把金融帳單交給外部廠商負責。也因為銀行會擔心客戶資料外洩，因而會要求廠商必須有嚴密的資安控管流程，同時一些國外大廠也會要求國內代工廠商做好資安。當所有企業的生產製造優勢都一樣時，未來要比的就是營運品質，而好的資訊安全就是競爭的優勢之一。不過，有些企業委外的原因並不是因為ROI，而是要將責任轉嫁到資安廠商身上，由廠商承擔風險。服務無「價」？

委外服務廠商經常面臨「服務不用錢」的誤解，或是價格過高的困擾。需要且願意購買委外服務的企業，應該對價格都有一定的認知，如果一昧的殺價，服務品質也會相對的降低。由於文化的差異，國外的大型企業自行培養資安人材，但國內反而是採取委外服務，如果跟國外比較一下，就會發現國內的價格其實還滿合理的，大約只有一半的費用左右。

鈕因任認為，委外服務牽涉到許多層面，除了技術和人事編制，最重要的反而是會計制度。因為在臺灣的會計制度中，服務必須編列費用，但是設備可以提列為資本，在這種狀況下，許多企業為了美化財務報表，寧願捨服務而選設備，或是以設備為名，包裝多種服務，造成委外服務的程度被低估。

不可否認，成本效益仍是企業是否委外的主要考量。大型企業有足夠的資金和人力，所以會希望自行解決資安問題，但中小企業則沒有，所以委外是不錯的選擇，可是現在委外的費用高於採購產品的成本，所以接受程度還沒那麼高。如果未來廠商能提供更好的服務模式和低廉的價格，相信可以更符合中小企業的需求。

服務合約也是要特別注意的項目。企業採用委外服務時，最擔心的就是資料外洩，但不論你是找熟人或找大廠，一定都要簽訂詳細規範的服務合約，更要清楚了解合約的內容。以設備代管為例，在合約上要清楚的規範，當發現一個入侵事件，廠商會立即打電話進行確認，然後建議適合的處理方式，如果未在時間內通知或處置，該由誰負責；如果完全交給廠商處理，企業只要了解狀況，這時如果造成營運損失，就要由廠商負責。市場起步，廠商廝殺，政府將是最大的供應商

雖然企業有資訊安全的認知，但大多還未開始考慮採用委外服務。目前臺灣的委外服務市場還在起步的階段，必須等到企業對委外服務有更多的需求與認知，才會帶動帶個市場需求。不過，企業該考慮的不僅只是產品和服務，而且建置更完備的資安機制，包括內部政策、員工規範及教育訓練等，然後找到符合需求的供應商。

許芸婷認為，隨著廠商之間的併購與整合，委外服務市場將會越來越成熟，而且它在資安解決方案（軟體、硬體、服務）所佔的比重也將越來越多。另外，有些廠商的SOC是建置在境外，也是選擇之一。

目前，國內大約有6家廠商在做SOC，但最後可能只會剩2、3家，而且政府會是最大的供應商。萬幼筠說：「政府的委外監控會不錯，其他的委外我都不看好。」

雖然政府正在推行國家級的NSOC，但沒有規定所有的政府單位的代管服務都要放在NSOC，還是希望能扶植一些本土的委外服務廠商。未來，在相關的政策和法令配合之下，將會增加許多委外服務的機會，而且政府的資訊安全需求是比較持續的，除了政策支持、經費編列與推展，隨著政府e化的程度持續增加，一些機要單位也需要進階的安全防護。

在金融業方面，由於他們對資安的重視度和敏感度，都非常的重視，所以大多是自行處理，或請廠商協同MIS設定設備的控管規則，將來可能會依照資料層級的不同，分階段委外。目前許多金控正在進行內部的資訊整合，可能在解決問題的同時，將資訊安全也考量進去，整個一起委外，以因應2006年將上路的巴賽爾協定。

在電信業方面，由於臺灣的電信業家數並不多，但每家的規模越來越大，大部分業者都有人力過剩的狀況，甚至還有國防役役男，所以電信業委外的意願較低，或許只會考慮符合他們需求的委外服務。

委外是一種趨勢，目前企業開始接受資訊委外，相信之後對資訊安全委外的接受度也會增高。

目前國內的資訊安全委外廠商正在重整當中，或許明年會出現全新的局面，如果未來廠商能提供配套的解決方案，例如系統規畫、安全監控、事件處理等服務，將服務當作產品來賣，增強企業的委外意願，也許會有更多企業選擇委外服務。

比較可惜的是，目前國內委外監控廠商還在談機房有多大、設備有多好、可以防幾級強震，但國外的委外監控廠商所注重的是：委外人力的素質高低，如何讓企業流程與委外相結合，服務品質與訂價策略等。

如果未來有一個認證協會或制度，可以評選提供資訊安全委外服務的廠商，張義淵認為這樣才能讓大家對委外更有信心，否則就只能委託一些不重要的業務。