在這一次CYBERSEC 2021臺灣資安大會的展場中,可以看到很多有創意的資安工具與防禦的機制,從與會來賓的踴躍參與我們可以發現,時至今日資訊安全仍然是很多機關以及企業客戶所關心的重要議題,這也驗證了隨著技術的演進,資訊安全的威脅與以及對組織所帶來的衝擊並沒有減少,反而是增加!尤其隨著5G與物聯網的發展,將帶來一個更完整和綿密的網路環境以及更多的運算能力,所以接下來機關以及企業的資訊系統將面臨更加嚴峻的資安威脅與挑戰。
身為台灣最大的資訊服務廠商,精誠資訊一直在思考的是:以系統整合商的角度來提供的資安維運服務跟傳統的資安服務廠商所提供的服務,會有什麼樣的差異,或者是可以創造出什麼樣的差異?
所以這一次我們試著脫離以往技術掛掛帥的角度,嘗試站在一個更高的制高點、站在組織的經營管理面來思考:什麼樣才是合適的資安服務?什麼樣才是有效的資安服務?這些正是資安法頒布一年多來,多數機關與CI管理者所面對的問題。
我們都知道「資安管理」面對的是一場不對稱的戰爭,在這場資安的防護戰爭中,各單位是處於防守者的位置,防守者需要成功的守下每一次的攻擊,但攻擊者只要成功一次就贏了。再者,防守者需要遵循法律以及相關規定的約束,攻擊者則完全不需要顧慮這些限制。最後,在沒有實際遇過資安威脅時,多數的防守者只願意負擔最低的資安費用,可是攻擊單位為了取得利益,會用盡他掌握的所有手段與資源,因此在這樣的條件下,要完整且有效的防禦各單位所負責的資訊服務整體架構,是件非常困難的事情。
然而時至今日,多數單位面對資訊安全的態度,仍是取決於廠商可以提供什麼樣的設備或系統,即使機關主管支持資安管理,充其量也就是將相關的設備採購進來,然後交由資訊人員負責去管理或操作這樣的設備。這樣的方式與為了達到有效防禦攻擊者,使相關設備搭配維運人員來執行關聯程序,以充分發揮整體的功效是有一段差距的,況且當單位的資源都花在這些設備採購上的時候,與資安維運息息相關的技術勞務需求要從哪邊獲得呢?
另外一個需要思考的面向是:我們對於資安的認知是在哪一個階段?這存在著三種不同的認知:一個是資安管理者以為的「安全」,另一個是系統目前實際上的「安全」,最後一個是因應法令法規的要求或產業規範需要達到的「安全」。但是對於多數單位來說:都是處於我們「以為的安全」,而不是我們「應該達到的安全」,更糟糕的是我們並不知道我們的資訊服務架構目前處在一個什麼樣的狀態。
因此我們建議客戶:先去盤點出以單位的屬性與業務範圍,應該要遵循的規定、標準以及法規有哪些,這代表單位「依法」應該要執行哪些資安活動,以達到法規要求程度的資訊安全等級,接著需要透過量化的方式來衡量各項資訊系統的價值。多數的單位在這邊會遇到阻礙,例如對於非營利事業的組織來說,相關的資訊系統都不是為了獲利而存在,這樣要如何量化資訊服務的價值?這邊或許可以採取另一個方式,就是評估資訊服務無法使用的時候,對單位會產生多少的負聲量,是會影響外部產生負聲量或是內部負聲量?負聲量又會達到多大的「聲量」?量化這些負向指標亦可作為後續決策分析的依據。
接著單位可以進行資源評估:每年度可以使用的資本支出以及費用支出各有多少,單位有的技術人力、掌握的技術能力、相關的資訊作業及資安管理流程又有多少?這樣來完成目標與資源兩個面向的鑒別,透過這樣的方式才能合理的將有限的資源挹注在相對重要的資訊服務項目上。資訊安全是一個動態且持續的風險鑒別與管控,所以單位要試著讓資源的投入可以持續且穩定的有效,而不僅是變成滿足短期特定的需求。在完成鑒別之後,依據鑒別的結果所得到的資源清單勾稽單位應該要達到的資訊安全目標,可以分析出其中的差異,完成這樣子的差異化分析之後,才有辦法規劃出要達成法令法規要求的目標,需要透過什麼樣的方式來補足單位缺乏的技術能量或者是服務水平差異。例如:依照目前資通安全管理法的要求:機關購置相關的安設備後需要維持設備的有效運作,所以規範了相關的資安設備如防火牆、入侵偵測系統及應用程式防火牆這類的設備,必須每年去維持軟、硬體更新以確保設備的合規,對單位來講會是一筆沉重的負擔,因為這一類的資本支出是維持設備的合規,還沒有考慮到設備的運作,也就是除了合規之外,單位需要透過技術人員的操作與管理才能讓這些資安設備發揮預期的功能,所以仍需投入相關的人力成本,但是就人力資源的考量來看,機關是否有充足的人力與能力來銜接這麼廣泛眾多不同類型的資安設備,而且資通安全法的要求是:必須讓這些資安設備所建構的防禦機達到7×24小時的有效運作,這表示了我們必須有7×24小時的人力來因應這樣子的資安管理要求,對多數的組織將是一個非常大的衝擊與挑戰,所以我們認為在現在單位需要降低投資在資安的CapEx(資本支出),改以OpEx(維運支出)的方式來佈建單位的資安防禦縱深,透過服務委外的方式來取得相關的資安服務,併與組織既有的資訊人力、技術與流程資源共同協作,才能有效而且經濟地達成資訊安全管理目標。
精誠資訊的資安監控維運中心(Monitor Operation Center, 簡稱MOC)就是基於這個精神開發設計的資安維運服務,我們期望透過身為台灣最大的資訊服務廠商所掌握的:技術規模、人力規模以及資本規模,由本土基數人員所開發出的各項資安監控以及維運服務,能有效地降低各級關及企業在面對資安管理時遇到的困難或資源匱乏的情形。使用精誠資訊的MOC服務,企業可以專注在他的業務活動,將資安管理的項目與要求透過MOC來達成,可以有效地降低機關及企業在資安管理的資本支出,同時透過MOC與單位資訊及資安人員的間接協作,更能讓資安事件的偵測、分析、到排除的生命週期有效地縮短,降低這些資安威脅對於單位業務活動產生實際的衝擊。精誠資訊MOC中心提供相關資安服務與單位有限的資源整合協作,一起來有效地達成法規的落實與資安管理的目標。
精誠集團 資安監控維運中心(MOC)服務諮詢聯繫窗口
國佳雯
Tel:(04)2706-1511#302
Email:carolkuo@systex.com
熱門新聞
2026-02-02
2026-02-03
2026-02-04
2026-02-02
2026-02-04
2026-02-03
2026-02-05