繼昨日的3P探討，今天我們來深入討論資訊系統的自建、委外和套裝軟體三者的優缺點。

不論採取哪種方法，打造一個新系統的起始步驟都是需求分析。這聽起來容易，但實際執行起來沒那麼簡單。當慣常的流程已經定型，明確且具體地提出真正需要的功能與特性就變得不易。

更常見的情境是，主管上層已有明確目標或願景，這表示著他們期望透過系統來進行一定程度的流程改革。這種改革可能導致部分員工的工作性質改變，或者更進一步，有些人可能需要面對職務輪調的情況。雖然在公務機關中，員工面臨失業的風險相對較低，但改變與不確定性仍然是一大挑戰。

在這種情形下資訊系統的建立充滿挑戰，因此分析常見的三種方式與資安法的關係

首先，我個人最推薦的選擇是套裝軟體。簡單來說，套裝軟體是預先設計好的，沒有特別為某一組織或企業所客製化。這意味著，當你選擇套裝軟體時，可能需要調整或改變原有的工作流程來適應軟體的設計。

其明顯的優點包括成本的透明性以及功能的完整性。畢竟，一個能在競爭激烈的市場中站穩腳跟的套裝軟體，通常都具備一定的品質和功能齊全性。

然而，這類軟體的缺點也不容忽視。由於其設計的通用性，可能需要使用者付出較高的學習成本來掌握。此外，因其非客製化的特性，當你需要一些特定的功能或調整時，可能會遇到困難或無法實現。

在資安法上面無需做分級，因為就只是買一套產品來用而已。

接下來我們來探討委外開發。這種模式的顯著優點是能夠提供高度的客製化。只要你願意投資，幾乎所有的需求和功能都可以透過委外開發得到實現。簡而言之，你只需提出需求，然後讓專業的廠商去執行。

當然，這麼說可能過於理想化。雖然「只要有錢」似乎能解決所有問題，但在實際操作中還有其他要考量的因素。特別是在資安法的規範下，合約中必須明確註明相關的規定和要求。例如，你可能需要在合約中明確規定委外稽核的權利，並參照行政院的「受託者資通安全聯合查核指引」。

此外，為確保廠商的資安水平，你可能會要求他們具備ISO 27001的認證，或是其員工持有相關的資安證照。同時，合約中也應詳述在發生資安事件時的通報程序、在掃描出高風險弱點後的修復時程，以及廠商遵守SSDLC的要求。

為了確保系統的長期維護和發展，如果預見到未來可能會有經費問題，最好在合約中訂定一條款，要求廠商提供系統的原始碼。這樣，即使因資金問題而不能繼續與原始廠商合作，你也能確保已投入的資源不會白費。

最後的選擇就是自建。自建系統的最大優勢在於高度的客製化和相對較低的成本。與委外或購買套裝軟體不同，自建模式主要的投資是人力資源，而非外部資金。考慮到外部廠商在提供客製化功能時常會加碼收費，自建在某些情況下能夠帶來明顯的經濟優勢。

特別是對於那些經常需要調整和更新的系統，例如人事薪資系統，自建無疑提供了更大的彈性。各機關的操作流程和法規規定可能因時而變，這也意味著系統功能的調整和更新將是常態。若每次微調都需支付額外的費用給委外廠商，長期下來可能成為不小的經濟負擔。

然而，自建的缺點也是十分明顯的。首先，機關內部的資訊人員技能可能存在波動，且不一定能滿足所有技術需求。例如公文系統，當需要外部機關進行資料交換時，雖然基本功能不難完成，但要確保資料的穩定、安全、有效交換則是另一番挑戰。

再者，資安法的規範明確要求系統必須遵循SSDLC的標準。對於機關內部的資訊人員來說，這意味著他們不僅需要具備開發的技能，還必須熟悉和掌握相關的資安標準和規範。如果因為人員流動或其他原因而導致部分功能無法達標，那麼管理層將面臨一個棘手的問題：如何在保障資安的前提下，確保系統的正常運作和維護？

機關的對資安的態度將成為成功自建的關鍵。