资讯安全系统委外.PPT

第11章 資訊安全系統委外 大綱 何謂委外 資訊安全系統委外 委外廠商須具備的能力 委外的風險與優點 何謂委外 委外(outsourcing) 最早出現在1990年發表於『哈佛商業評論』(Harvard Business Review)的文章，當時對委外所提出的概念為 - 指當組織內部資源或功能不足時，委由外界提供相關功能之產品或服務，以達成所要的目標，而組織則可藉此避免負擔一個部門或一項業務的責任 資訊安全系統委外 以防毒軟體為例(在考慮成本效益下) 委外廠商須具備的能力 協助組織制定資訊安全政策 入侵偵測系統監控與管理 防火牆監控與管理 網路資源使用管理 虛擬私人網路管理 病毒掃描 脆弱點掃描 委外廠商須具備的能力 滲透測試 網頁監控與即時復原 安全警訊通報 安全事件回應、調查與蒐證服務 報表分析服務 資訊安全教育服務 委外的風險與優點 優點與可能風險列表 * 採購成本 資料更新成本 風險轉移 採購商業防毒軟體 系統規劃成本 系統建置成本 人力成本 後續維護成本 風險承擔 自行開發防毒軟體 相關成本 風險管理方式 項 目 委外機構可能會倒閉 企業可獲得全天候的安全保障 委外機構的資訊安全防護能力 減少因資訊安全設備操作發生的錯誤 營運成本能否確實降低、服務品質能否藉此提高 節省投資安全設備的支出 當發生資訊安全事故時的責任歸屬 可降低管理資訊安全的人事與訓練費用 當發生資訊安全事故時的責任歸屬 減少人員異動造成的管理斷層 企業擔心本身的資訊遭外洩或誤用 可專心於本業，不必為資訊科技煩心 委外機構掌握過多機密資訊 有效降低整體營運成本與安全風險 風 險 疑 慮 優 點 *