資訊安全委外

2.3.1 資訊安全委外概述

在這個電子商務的時代，幾乎所有的企業都透過網路與外部的供應商、客戶、

遠端的使用者有所聯繫，然而伴隨而來的安全威脅也一一浮現，攻擊者可以透過 多樣化的手法達到攻擊的目的，不過企業卻可能因為遭受單一的攻擊便使得營運 中斷，而不論企業的規模大小，大多數的企業都沒有足夠的資源、專業技術、人 力及時間來鞏固自己的資訊安全，而這樣的情況促使了資訊安全管理服務業的興 貣(Deshpande, 2005)。資訊安全的委外議題在近幾年來逐漸受到重視，如同先前 提到的對於企業來說資安風險逐漸的升高，市場上也出現了越來越多的資安服務 供應商，資安委外的情況也越來越頻繁。

本研究利用上述提及的資訊安全的定義及委外的概念，將資訊安全委外定義 為：組織將部份或全部的資訊安全功能需求，分包契約給第三方服務供應商來完 成。而主要的資訊安全服務可以大略的被分類為以下幾項(Deshpande, 2005; Hunt, 2001)：

一、資訊系統及網路的週邊管理：此服務考慮企業的資訊在與外界連通時所 需具備的基本保護，如建置防火牆、入侵偵測系統、入侵防堵系統等等，並且由 外部廠商負責軟硬體的管理與維護。

二、安全管理監控：這種監控通常需要長期不間斷的觀察，服務商透過監看 客戶的網路流量或者網路的使用行為模式，找出異常的使用情況或者是辨認出來 自外界的蓄意攻擊，如駭客入侵、阻斷服務(DoS)等行為，此外也可以針對客戶的 使用情況做出未來趨勢的判斷，而這也是回應意外事件流程的第一步。

三、弱點評估與滲透測詴：這個服務旨在模擬駭客的行為找出客戶的系統可

能存在的弱點，在遭受攻擊之前先設法改善系統或網路設置的缺失及漏洞，並且 需要週期性的掃描測詴，以確保客戶有能力因應新的攻擊手法或者是新上線的系 統也受到良好的保護。

四、現場顧問諮詢：服務供應商需要幫助客戶評估企業的風險，在了解企業 的需求之後協助發展資訊安全管理的政策及程序，建構良好的資訊安全架構，當 然也包括技術上及操作時的協助，像是提供資訊安全產品，或者是在資安事件發 生時給予回應，辨識原因及協助回復。

五、遵循管理的監控：這個服務監看公司內部人員是否有不符合資訊安全規 範的行為，像是未經授權的變更系統內的資料、改變防火牆的設定等等，當有違 規的紀錄產生便會發出通報警訊。

六、防毒與內容過濾：此服務包含了偵測所有的病毒、蠕蟲、惡意程式、垃 圾郵件等等，並且進行有效的過濾防堵，避免危害企業內部的系統安全。

2.3.2 資安委外與競爭優勢

為了探究資安委外是否能夠為企業帶來實際的利益以及獲得競爭上的優勢，

我們在此先借用資源基礎的概念，以便能夠更清楚的描述兩者之間的關係，而詳 細的理論探討將會留到下一個章節來作介紹。

Grant 認為資源基礎的概念，不只關乎公司現有資源及能力的佈署，也與其 未來的發展有關，為了利用公司現有的資源及能力，並且進一步發展競爭優勢，

從外部獲取互補及不足的資源也是相當重要的(Grant, 1991)。而從外部獲取資源或 能力，也就是透過委外的手段，是一個在策略管理領域常用的填補資源及能力與 欲發展的策略其中落差(gap)的方法(Stevenson, 1976)。

如先前所言，資訊安全也可以視為公司所需要的一種資源及能力，但是如同 IT 一樣，雖然是公司必頇具備的能力，但卻不是大多數公司的核心競爭力來源 (Carr, 2003a)，此外資安的建置比一般的 IT 更為困難，且需要耗費更大的成本 (Bruder, 2006)，因此，本研究考慮資安可以如同 IT 一樣，當公司現有的需求資源 及能力與期望的程度有所落差(gap)，可以用委外策略來填補這個不足(Cheon, Grover, & Teng, 1995; Cronk & Sharp, 1995)。

Grant 也說明了委外的策略不但可以維持公司所需的資源及能力，同時也增 強了公司的競爭優勢，並且有更佳的策略機會(Grant, 1991)。Kankanhalli 等學者 也提到投資於資安管理能夠幫助企業獲得競爭優勢，而若將資安委外，將企業需 要的資安服務交由專業的服務供應商來執行，則可能帶來更大的利益(Kankanhalli, Teo, Tan, & Wei, 2003)。

此外，Mishra 認為因為資訊的不對稱，賣家擁有比買家更多的資訊，而買家 沒有足夠的判斷能力來辨別賣家的好壞，可能產生檸檬問題(lemons problem)，也 就是說劣質的賣家提供了較差的產品或服務，也因此付出了較低的成本；而優質 的賣家提供了較好的產品或服務，因此需要較高的成本，造成其要求的價格比劣 質的賣家來的高，而買家在無法判斷的情況下，選擇了收費較低的劣質賣家，造 成市場往劣質賣家傾斜的情況，而想要解決這類的問題，需要仰賴服務供應商提 供訊號(signal)及認證(certification)，也就是賣家必頇提供一些訊息或保證來證明 自己產品或服務的品質，讓客戶能夠更容易的作出較好的選擇，而在資訊安全上 也有類似的情況，如果企業在考慮資訊安全委外之時，能夠選擇較為著名的專業 服務提供者，亦即提供了訊號(signal)讓客戶信任企業在資訊安全這方面能夠擁有 較高的資訊安全能力，或者擁有較好的形象，則能夠增加客戶的信心，進一步提 昇與企業合作的意願，也能夠為企業本身帶來更多的機會，以及創造出競爭優勢

(Mishra, 2006)。

儘管上述有許多的學者提出了相關的研究建議，但是我們的調查發現在學術 界中關於資安委外的文章仍然極為稀少，我們搜尋了數個資管及資安領域的主要 期刊，幾乎沒有資安委外的相關研究出現，另外我們也透過電子的資料庫來搜尋，

在得出的結果當中，跟資安委外有關的幾乎都是短篇的雜誌文章，極少有完整的 學術研究，大多數的文章仍然在探討委外的安全問題，這顯示出目前在資安委外 這塊領域的學術研究有著嚴重的不足，對於正在成長的資安委外市場而言，是個 必頇要重視的警訊並且需要尋求解決之道。

因此，本研究主旨在於利用在探討競爭優勢時被廣泛使用的資源基礎理論為 基礎，將資訊安全視為公司的一種資源及能力，探討公司在資安能力與預期達到 的能力有所落差的情況下，透過委外的策略將資訊安全委託給外在的服務供應商，

是否能夠為公司帶來更好的效益，並且取得競爭上的優勢。