第一節 研究背景與動機
1.1.1 資訊安全的定位與特性
隨著企業全球化的經營,企業所擁有的資訊已經變成重要的資產,隨之而來 的資安風險也越來越高,企業為了保護所擁有的資產,開始尋找可能的解決方案 (PWC, 2008)。而對大部分的企業而言,資訊安全並非其核心的業務,就如同 IT 一樣,雖然對於企業而言是不可或缺的一部分,但是應該更普及的使用,讓企業 在執行核心業務時能夠得到 IT 適當地輔助,聚焦在競爭策略的思考及突破而非單 純的想靠 IT 來獲取競爭優勢(Carr, 2003a),在資訊安全上也是如此,企業當然需 要完整的資訊安全解決方案,但是並不是單純靠執行良好的資安措施來獲取競爭 優勢,而是將資安視為輔助,讓企業能夠放心的聚焦在核心業務,以及讓合作的 廠商更加的放心,藉此來獲取競爭的優勢。
雖然資訊安全並非企業的主要業務,但是如果沒有做好資訊安全的管理卻可 能給企業帶來極大的風險,尤其在近年經濟衰退的影響下,企業面臨的風險比以 往都還要高,例如解僱的員工以及合作的公司倒閉都可能衍生出更多的資安問題,
因此企業的經營者也比以往更重視整體的資訊安全(PWC, 2010)。然而對於企業而 言,想要自行建置完整的資安措施相當不容易,像是資安人員的培訓不易、技術 不足,資安需要 24/7 全天候、無間斷的監控管理,所需耗費的成本極高,大多數 的企業缺乏足夠的經驗來處理資安事件,往往都是遭受攻擊或損失才開始重視資 安問題,員工缺乏足夠的風險意識等等,都造成企業暴露在很高的資安風險之中,
然而若能考慮將資訊安全委外,由外在的服務供應商來提供資安服務,讓核心業 務為資安服務的業者來提供服務,在技術上能夠得到很好的支援,全天候的監控 對於服務商而言是基本的業務,能夠為企業減輕成本負擔,而且資安廠商擁有較 為豐富的事故處理經驗,並且能夠掌握最新的資訊安全資訊,提供企業最即時的 協助,總和上述幾點,資安委外將可以為企業帶來夠大的效益,解決不易處理的 資安問題,獲取追求競爭優勢的機會(Bruder, 2006)。而在 E&Y(2009)的全球資安 調查報告中也指出企業發展資訊安全主要的挑戰來自於缺乏適合的資源,其中有 56%的受訪者認為自身企業所擁有的資源不足,所以 E&Y 建議企業應該在適合的 情況下向外界尋求協助。
1.1.2 資訊安全委外的發展趨勢
現今企業將資訊安全管理委外的比例並不高,根據 CSI 2008 的調查報告指 出,約有六成的受訪企業並沒有將資安委外的動作,而其他有將資安委外的企業 裡面,又以低程度的外包比例(up to 20%)為多數,不過此調查中也提及在 IT 的預 算裡面,資訊安全所佔用的比例逐年升高,而且在審計部門以及法務的部門也編 列了用於資訊安全的預算,由此可以看出資訊安全已經逐漸受到企業的重視,在 未來有很大的進步空間,此外如同上一段提到的企業自行建置資安措施並不容易,
此調查認為資安委外仍然是一個相當具有吸引力的選項,而資安委外市場也具有 相當不錯的發展潛力(Richardson, 2008)。
根據 IDC 估計從 2006 年至 2011 年全球資安服務市場將以 17.4%之複合成長 率持續成長,在五年內市場規模將擴大兩倍,而資安服務佔整體資安市場的比例 也逐年的增加,將於 2009 年突破五成,這表示企業投資在資安上面將有過半消費 在服務上,而資安服務的需求大於資安產品的需求即說明了企業將資安委外的比
例越來越高(IDC, 2007)。Gartner 也於 2007 年提出預估,至 2012 年為止全球資安 服務市場規模之年複合成長率將達到 30%(Gartner, 2007)。綜合上述的調查報告可 以看出資訊安全委外這個領域雖然剛貣步不久,不過未來的發展趨勢是相當看好 的。
1.1.3 研究動機
在現今的商業環境之下,企業與外界的資訊流通極為頻繁並且伴隨著網路的 普及變得難以掌控,保護這些資訊安全的重要性與日俱增,然而資訊安全並非大 多數企業的核心業務,加上維護資訊安全的困難度很高,花費的成本是否達到成 效也難以評估,因此企業開始思考是否能夠透過委外來降低成本、轉移風險、達 到預期的效果,甚至是創造競爭的優勢。
資訊安全委外相較於一般的資訊系統委外有其特殊性,像是牽涉到了企業與 服務供應商之間的信賴問題,以及資訊安全的投資較難看出成效等等,造成企業 在面臨選擇資訊安全是否委外時,需要作更多更深入的考慮。加上之前也提到許 多的調查報告都相當看好資訊安全委外這塊市場,這表示資訊安全委外被認為是 一個可行的方向,因此現在這個時間點,對於該不該把資訊安全委外是企業急切 需要了解的課題。
過去已經有許多的研究在探討資訊系統委外,但是在資訊安全委外這部份的 研究仍然有很大的不足,因此本研究希望能夠透過理論以及實證來研究資訊安全 委外這個領域,探討資安委外是否能夠幫助企業獲取競爭優勢。競爭優勢是指該 公司目前及潛在的競爭對手,無法同步執行該公司現在所執行之價值造策略(value creating strategy),而持久競爭優勢指的是對手除了無法同步執行該公司現在所執
行之價值造策略之外,也無法複製並取得該公司在此策略中所獲取的利益,可讓 該公司的競爭優勢維持一段較長的時間(Barney, 1991)。利用理論作為基礎能夠更 有力的支持研究的結果,除了繼續發展資訊安全委外的相關研究之外,對於企業 而言也更具有參考的價值。
第二節 研究目的
本研究的主要目的是藉由學理及實務上的探討,透過理論所提供的架構來檢 視企業組織在資訊安全委外的情況下,是否能夠獲得持久的競爭優勢,並且利用 實證來檢視其成果。
本研究的主要目的是藉由資源理論的觀點作為基礎,並結合實務上的探討,
以了解台灣地區的企業組織在其將資訊安全委外的活動之中,是否能夠實際的獲 取利益,甚至取得持久的競爭優勢。
本研究的目的旨在探討下列各項議題:
一、探討企業在進行資訊安全委外的活動之後,是否能夠獲取實際的利益,
創造競爭優勢。
二、了解企業在進行資訊安全委外活動之後,其資訊安全資源與成本之間的 關聯性。
三、了解企業在進行資訊安全委外活動之後,其資訊安全資源與差異化之間 的關聯性。
本研究的結果希望提供給台灣的企業,作為評估進行資訊安全委外活動時的 參考,以協助企業接觸或者獲取資訊安全資源,並且轉化成為經營上的競爭優勢。
而目前國內的學術界中,對於資訊安全委外的研究仍然不多,並且多數為理論的 闡述,本研究希望能夠從實務的探討著手,提供學界對於資訊安全委外更深一層 的認識。