2009年12月8日 星期二

[專題] 資訊安全委外服務之分析探討

資訊安全的重要性,在今日的企業中佔有舉足輕重的地位,無論是市場情報收集、產品研發資訊、業務交易與財務資訊,對於企業的營運都是重要的關鍵因素之一。根據資策會MIC的調查指出,層出不窮的資料外洩事件,使得企業必須強化對於法規的遵循意識,也使得對於敏感資訊的管理,受到更嚴格的要求,因為一旦企業重要的資訊遭到不當洩露,不僅會直接影響企業的聲譽,很可能對於企業的經營與市場造成重大的影響。

目前不只是大型企業,包括中小型企業對於資訊安全與營運的重視度也不斷提升,如何去確保資訊的安全,已成為管理階層必須要去重視的課題。只是,資訊安全牽涉的層面很廣,不管是從管理面來建立資訊安全管理制度,到技術面的防禦機制與控制措施部署,都需要專業且專責的人才來協助,由於企業目前仍普遍缺乏資安專業人才來規劃執行各項資安工作,所以若把資安工作委由專業的資安服務廠商來協助,將是企業兼顧成本與效益的良好選擇。

資安委外服務的發展趨勢

根據資策會MIC的研究顯示,全球的資安市場以每年平均15%的速度穩定成長,其中資訊安全服務的市佔率已逐年增加,預計在2009年將會突破五成。以日本為例,目前由資安委外服務業者所提供的服務已非常地多樣化,包括了防火牆代管的應用管理服務、代管入侵偵測系統的不當存取監視服務,以及防毒軟體的病毒監視服務等。

現今企業所面臨的安全威脅日益複雜,加上政府對於資訊安全的要求,以及與民間業者共同合作的努力推廣,使得整個資安市場的熱度持續加溫,尤其是大型企業隨著經營規模與事業版圖的擴大,更要受到國外標準法規的要求規範。因此,針對資訊安全的實施運作更有迫切性需求,要如何進行適當的資源分配與管理,就需要專業的資訊安全業者來予以協助。

近年來,「資安即服務(Security-as-a-Service)」的風潮也開始興起,Gartner於2007年11月的研究指出,預估一直到2012年為止,全球Security-as-a-Service的市場規模,平均每年將有30%的高成長率。而Security-as-a-Service本身的優勢即在於能夠節省成本,並且加速建置的時程,因此對於需要對抗混合式資安威脅的企業,剛好能夠提供即時的協助,並且簡化整個資安產品購買、安裝、建置與管理的流程。

資安委外服務的範疇

一般而言,資訊系統相關的工作範圍很廣,並非所有工作都可採取委外方式來進行。基本上,大多數和資訊有關的委外工作都會傾向於非核心和非關鍵的系統為主,因此,在資訊安全委外方面,可能的項目包括:
  • 產品建置維護服務 - 針對企業所購置的資安設備,像是防火牆、防毒牆、入侵偵測與入侵防禦系統等,由產品供應商依照購買時的合約規範,提供各項售後服務,即使在保固期滿之後,仍可繼續與服務廠商簽署定期維護合約,以維持資安產品的各項功能都可正常運作。
  • 資安顧問服務 - 主要針對資訊安全管理方面,提供專業的顧問諮詢服務,例如資安法規遵循問題、ISO 27001資訊安全管理系統標準導入,以及員工的資安教育訓練等。
  • 資安事件監控 - 藉由服務業者所建置的資訊安全監控中心,可即時收集企業端的各項資安設備所產生的記錄檔,並且監控系統與網路上的各種活動,來提供異常事件診斷服務和資安事故應變處理,並定期產生各項安全統計報告,以協助企業內的管理人員來維持網路的正常運作,確保資訊的安全。
所以,從技術面的資安基礎建設的建置維護、產品的組態設定與參數調整、系統安全性監控、資安事件的處理與清除復原等,到管理面的資安政策諮詢、資安管理系統(ISMS)導入和資安教育訓練等,這些都包括在資安委外的服務範圍之內。

資安委外服務應注意事項

根據政府的資訊作業委外安全參考指引中指出,「針對各項委外作業,應建立事前規劃、事中招標和事後執行維運機制,將相關的規劃服務納入合約中,以確保各項服務之延續。而且為了提高資訊安全服務品質,應該將資訊安全計劃列為委外的必要工作項目,並且要求廠商必須依照主管機關所訂定的標準或規範來執行,提出可行的建議方案,才可確保委外作業的安全。」

此外,在進行資訊安全委外服務時,必須要求承包廠商遵守相關的法令規定,像是針對個人資料的部份,若涉及資料外洩等違法事件時,需依個人資料保護法中的相關法令來處理。換句話說,當企業與委外服務業者簽訂合約時,就應該在合約中註明,承包商在處理各項企業敏感資訊時,必須負有保護資料安全的責任與義務,若違反合約中所註明的各項要求,相關人員要負責相關的損害賠償及法律責任。

當企業在評選資安服務業者時,也要針對業者的各項專業資格進行審查,例如要求參與資安委外服務專案的相關人員,必須具備國際認可的資安專業證照如資訊系統安全專家認證(CISSP),或是要求業者本身需通過ISO 27001資訊安全管理系統的驗證。另外,在資安委外時亦可要求承包廠商不得再將專案外包,以避免來自其他無法控管的專案風險。

簽署資安服務水準協定

基本上,針對委外服務業者的服務品質,企業想要提出各項要求與規範,就需要有文件化的明確說明與指標,才能確保委外服務業者能夠提供一定的服務水準,而這部份就牽涉到要如何去建立一個雙方共同認可,並且可接受的服務水準協定(Service-Level Agreement;SLA)。因此,針對資安的委外服務規範,可以參考以下要點來作為執行時的依據,例如:
  • 服務時間
  • 事件回應速度
  • 系統可用率
  • 異常事件處理程序
  • 稽核作業
所謂的服務水準協定,即是指企業與委外服務業者彼此所認可的規範,其目的在於清楚描述委外服務業者所能提供的各項服務和企業所能接受的服務期望,所以它牽涉的範圍其實相當的廣泛,包括委外服務業者的工作責任、必要的保密安全機制、到場支援服務的時間,以及若業者造反服務水準之後所該採取的罰則等,另外可能還會有雙方個別的特殊約定,這些都需要包括在彼此所簽署的服務水準協定之中。

以網站弱點掃瞄服務為例,在服務水準協定中,即可明確要求每季必須執行一次稽核掃瞄,由服務業者至企業內部或外部針對網站伺服器進行弱點偵測,在掃瞄完成之後,再由擁有資安認證的專業人員進行報告解讀,說明目前網站應用系統所存在的弱點等級,並提出建議及改善的方法。另外,若企業或委外服務業者任何一方想要提出終止服務時,應依照合約的規範,將後續工作移交給企業本身,或是交接給後續承包廠商,這些也都務必要求在一定的期限內,以順利完成移轉或中止動作。

如何評估資安服務廠商

隨著駭客攻擊的手法日新月異,企業該如何去維護本身的資訊安全,確保企業的永續經營,都不斷地考驗著管理者的決心,為了降低企業的營運成本並提高效率,選擇將資訊安全交由專業的委外廠商協助,藉助外部專家的專業能力與資源,不失為一種提升應變能力的管理辦法。不過,要如何去選擇資安委外服務廠商,建議必須考量到以下幾個重點:
  1. 市場口碑 - 資安委外服務是一項長期互相配合的工作,因此選擇資安委外服務廠商時,務必選擇在市場上具一定的口碑名聲,擁有專業的人才與技術團隊,才可確保所提供的服務品質。
  2. 專業認證 - 選擇資安委外服務業者,應選擇通過政府認可或國際標準如ISO 27001驗證通過的公司,才能有效確保在資外服務作業時的資訊保密相關工作。
  3. 技術完整 - 資安工作層面廣泛,更牽涉到一定的專業技術,以及所採用的工具產品,企業可要求相關的資安產品均為知名品牌,並且要求服務業者需出示產品的原廠許可,或要求技術人員具備原廠所頒發的專業證照。
資安服務業者的機會與挑戰

依據個人的觀察,台灣的資安委外服務市場雖然一直存在,但卻沒有呈現大幅度的成長,推測其可能原因在於市場的實際需求並沒有很迫切,尤其是缺少國內相關資安法規的要求。尤其對業者而言,除了建置資訊安全監控中心(SOC),提供資安事件管理服務外,其他的資安服務並沒有一個很完整的方案。

不過,資安服務仍然存在著可運作的機會,首先,許多國內的中小型企業,在資安人力方面嚴重不足,加上資訊安全涵蓋的層面非常廣,從管理制度的建置到技術面的佈署支援,單一企業組織很難完全靠一己之力來完成,勢必要尋求資安服務業者的協助。其次,目前許多企業對於資訊安全應變能力仍然不夠,尤其是在事件處理方面,會是資安服務業者能夠施力的地方,像是目前的SOC資安監控服務,在找出可疑事件的人、時、地、事之後,後續事件處理該交由「誰來做」、「怎麼做」,是否有完善的事件處理流程或是標準作業程序(SOP),將是未來資安服務業者可以思考的方向。

至於資安服務業者所面臨的挑戰,主要有以下三個:

第一,企業對於服務業者的信任度不足,一旦資安服務牽涉到企業的業務關鍵活動,在委外方面就會有很多層層的考量與要求,這方面需要花很多時間來協調溝通,讓企業能夠認同並對業者產生信任,才能夠接受所提供的服務。

第二,所謂的服務品質本身不易量測,雖然彼此可以簽署服務水準協定,依照協定的內容來執行,但是委外服務的品質,也牽涉到業者願意且能夠付出的人力物力成本,因此如何去量測有效的服務品質,提出適當的證明,將會是業者的一大挑戰。

第三,服務有價的觀念不足,也是推展資安委外服務的一大障礙。根據個人的觀察與經驗,目前在台灣市場,多半企業比較能夠接受的模式還是以購買資安產品附加資安服務的方式,比較不會考慮純粹購買所謂的「專業資安服務」;但是在國外,對於付費接受專業服務的觀念卻是相當普遍,這是國內外存在的一個很大差異性,更是資安服務的業者會碰到的實際問題,這方面可能還有待時間來蘊釀,才能進一步讓企業能夠認同服務價值並接受服務。

制定法規以推動資安委外服務

資安是需要長期推動的一項工作,個人認為法令的制定與相關產業規範要求,以及資安種子人才的培育,對於資安服務產業的發展將會有更好的影響。舉例來說,國外有許多像是沙賓法案、GLBA法案、HIPPA法案等法令,除了要求金融、政府、醫療和一般企業要更加重視資訊的安全之外,也間接促進了資安服務業者在法規遵循的技術能力改進和服務專業度,所以也才會有整個資安市場被重視的變化,進而帶動資安產業的蓬勃發展,只要政府推動適合國內的資安法規,業者便可依照法令規範來建立服務的SOP,推展各項協助企業的資安服務。

此外,對一個產業或企業而言,人才、技術與資金是推動資訊安全不可或缺的要素。目前,資安人才的獲得是一個很大的問題,像是國內各大專院校幾乎沒有和資訊安全相關的科系,即使有相關的資安學程,這些人員在畢業之後,還是需要2~3年實際的市場經驗才會逐漸成熟,如果一般的資訊人員甚至是資訊主管都沒有資安觀念的話,台灣的資安市場要發展也很困難,所以提升整體的資安意識也是目前迫不及待的重要工作。

最後,呼籲政府單位應該結合民間資安業者的力量,以有計畫的組織、具體扶植資安業者的作為,以及共同舉辦一些大型的資安宣導活動等,來引起社會大眾的重視與注意,企業才能選擇國內真正專業和成熟的資安業者,一起來為資訊安全工作努力推動和發聲,如此也可間接提升台灣在國際社會的資安貢獻度與國家競爭力。(本文刊載於2008工商時報電子資訊工業年鑑)

<參考資料>
1. 資策會資訊市場情報中心─資訊安全市場發展趨勢前瞻
2. 政府資訊作業委外安全參考指引

沒有留言: