【資安專欄】資訊委外之風險問題


撰文\電算中心資訊網路組
張力允組長


更新日期:2022-11-11 Friday
點閱次數:2188


        資訊應用服務已經成為現在組織內不可或缺的狀態,但在缺乏資訊人員的狀態下,許多組織會聘請委外廠商來協助管理資訊服務或設備,委外廠商之管理,將是組織面臨的一大挑戰,只要管理不慎,既有可能造成資料外洩、資訊服務停擺等問題,因此,委外廠商的管理,將是組織未來必須重視的問題。


        資訊委外廠商,為了讓組織能即時獲得資訊系統漏洞的訊息,一般會透過官網公告的方式週知,或者用電子報的方式通知組織必須更新;然而近期有資安知名委外廠商,卻是用私下通知客戶的方式發布系統漏洞訊息,許多客戶是在看到使用者公告漏洞訊息(非官方公告)後,才得知系統有重大漏洞必須進行修補,從上述例子,很明顯可看出,委外廠商缺乏一套正規的漏洞公告機制,導致漏洞公告不同步的狀態。


        國內知名汽車業者,也因為委外廠商管理不當,造成客戶資料外洩,此事件最主要是因為汽車業者將程式原始碼公開,不慎將帳密外洩,許多組織會請資訊委外廠商協助開發軟體,但委外廠商會因為程式撰寫方便,把資料庫的帳密撰寫於程式中,一旦程式碼公開後,資料庫的帳密也隨之公開,因此,如何管理程式開發的委外廠商,是相關重要的一環,組織內部應建立一套完善的系統安全開發流程(Secure Software Development Life Cycle, SSDLC),確保系統開發過程中,符合安全管理要求。


        如何找尋優質的委外廠商協助組織進行資訊系統管理,是現在組織遇到的一大挑戰,但組織仍可透過一些管控,來進行委外廠商管理,例如:以篩選方式尋找適合的廠商;委外廠商服務期間訂定合約,確保雙方的權益;雙方訂有保密條款,必要時給予適當的罰則,這些都是很好的管控措施,良好的委外管理,可幫助組織在資訊管理上事半功倍。



Reference:

https://www.ithome.com.tw/news/153646