文/萬弘資訊周世洪先生 聯絡資訊:sales@wanhung.com.tw

資訊安全顧問服務 (資安顧問服務)

年(2014年)年底偶然機會與一客戶接洽，她提及由於公司面臨資訊安全事故

導致她遭受國際詐騙集團以電腦社交工程 Email偽造手法騙走上千萬台幣，

加上過程牽涉到其舊有供應商，也造成原本的信任關係出現了緊繃情形。由

於此案發生在國外，所以對於受者來說處理過程相當繁瑣，即使大概掌握了

該國際詐騙集團的位置，款項也因為已被分 3次領光而拿不回來。這位客戶

另外向我說明資訊安全這一塊領域可協助的顧問似乎很難尋找，所以讓我興

起撰寫本文「資訊安全顧問服務」的念頭，順便工商時間一下。

說起資訊安全顧問服務，假設今日這位客戶碰到來接洽的是郵件產品廠商，

我相信該廠商的資安顧問或產品經理應該會說: 那就買個郵件過濾軟體來擋

掉吧!若碰到的是加密廠商，資安顧問應該會說就買個加密軟體、或郵件加密

設備，就不會因遭攔截而被偽造了。若是資安技術服務的廠商，也有可能說

不然就作個模擬測試或掃描看看是否有什麼問題。

綜觀上面業界生態常見的銷售與推廣現象，讓我想起一些生活例子來作個分

享:近幾年 LINE通訊軟體的普及令廣大的百姓成了愛不釋手的低頭族，因而

也間接變成簡訊、或是訊息詐騙的眼中肥羊，時有所聞部份民眾金錢出現損

失狀況(這個上 165專線的 網站都可查詢得到，為數還不少)。但我們仔細想

想，當我們因此有金錢損失就需要去買個防毒軟體、或是買個手機的安全 app

來阻擋嗎？ 我想方法不只一種，就許多電腦從業人員有時自己也知道防不勝

防，可能就在預算有限的情況下，大不了重新 Reset或重灌之類的，或是多

吸收一些知識、新聞案例、詐騙手法來增加自己的安全認知能力 從個人的角

度來看企業也是一樣，有時不是我們買了多少防禦的東西，而是在於是否自

我評估風險最根本的原因？是否花時間去尋求既不違反生活習慣、業務流程

的最大效益解決方案。

資訊安全顧問服務所提供基本精神若是以「產品功能」來作為服務檢測、分

析出報告、恐怕面向會稍嫌不足、也很難打到重點， 因為這僅僅滿足了產品

廠商功能面的銷售、所有核心話題、功能、分析、檢測必然圍繞在該產品可

完成的功能， 或許符合需求也或許不符可需求且又花了了一大筆錢

文/萬弘資訊周世洪先生 聯絡資訊:sales@wanhung.com.tw

★資訊安全顧問服務有多項標準可參考依循:

一、ISO 27001:2013 資訊安全管理系統 2013 年版本

二、ISO 27001:2005 資訊安全管理系統 2005 年版本

三、ISO 27005 資訊安全風險管理

四、ISO 31000 企業風險管理

五、ISO 27002 資訊安全管理系統實務指引

六、美國國家標準技術研究所(NIST)的相關資安指引

七、ISO 22301 營運持續管理

透過業務流程、核心問題、實務上常見的資安事故、與國際標準的許多要求

可簡單列舉(包括但不限於)：委外廠效監督與管理、人員認知與資訊安全管

理方式的檢視、專案管理上的安全、 網路安全的管理、災難復原的應變之類…

等等，我相信上述流程在涵蓋度上面一定比產品更完整、更全面，也較容易

分析出真正的棖本原因。

★資安顧問服務應具備的流程請參考下圖:

文/萬弘資訊周世洪先生 聯絡資訊:sales@wanhung.com.tw

★相關資料的參考與連結:

ISO27001:2013顧問服務

資訊安全風險管理服務

資訊安全營業持續管理服務

ISO27001內稽服務

ISO27001稽核經驗分享

文/萬弘資訊周世洪先生 聯絡資訊:sales@wanhung.com.tw

★其它相關連結

一、 個資法委外監督稽核查核服務(資安顧問服務)

二、 網路個資刪除移除服務與諮詢(資安顧問服務)

三、 個資法管理制度輔導(資安顧問服務)

四、 個資法風險管理評估服務(資安顧問服務)

五、 個人資料管理(個資法)制度輔導(資安顧問服務)

六、 資訊安全案例(Virus shield)資安顧問提供

七、 最大風險說明與實務經驗分享(資安顧問觀點)

八、 資訊安全例例_申請網上支付 (資安顧問案例)

九、 個資法管理制度與品牌(資安顧問案例)

十、 資訊安全範例分享(資安顧問提供)

十一、 whoscall 個資外洩與追蹤(資安顧問案例)

十二、 資訊安全內部稽核案例(資安顧問服務)

十三、 資訊安全內部稽核實務(備份)_資安顧問觀點