繼昨日的3P探討,今天我們來深入討論資訊系統的自建、委外和套裝軟體三者的優缺點。
不論採取哪種方法,打造一個新系統的起始步驟都是需求分析。這聽起來容易,但實際執行起來沒那麼簡單。當慣常的流程已經定型,明確且具體地提出真正需要的功能與特性就變得不易。
更常見的情境是,主管上層已有明確目標或願景,這表示著他們期望透過系統來進行一定程度的流程改革。這種改革可能導致部分員工的工作性質改變,或者更進一步,有些人可能需要面對職務輪調的情況。雖然在公務機關中,員工面臨失業的風險相對較低,但改變與不確定性仍然是一大挑戰。
在這種情形下資訊系統的建立充滿挑戰,因此分析常見的三種方式與資安法的關係
首先,我個人最推薦的選擇是套裝軟體。簡單來說,套裝軟體是預先設計好的,沒有特別為某一組織或企業所客製化。這意味著,當你選擇套裝軟體時,可能需要調整或改變原有的工作流程來適應軟體的設計。
其明顯的優點包括成本的透明性以及功能的完整性。畢竟,一個能在競爭激烈的市場中站穩腳跟的套裝軟體,通常都具備一定的品質和功能齊全性。
然而,這類軟體的缺點也不容忽視。由於其設計的通用性,可能需要使用者付出較高的學習成本來掌握。此外,因其非客製化的特性,當你需要一些特定的功能或調整時,可能會遇到困難或無法實現。
在資安法上面無需做分級,因為就只是買一套產品來用而已。
接下來我們來探討委外開發。這種模式的顯著優點是能夠提供高度的客製化。只要你願意投資,幾乎所有的需求和功能都可以透過委外開發得到實現。簡而言之,你只需提出需求,然後讓專業的廠商去執行。
當然,這麼說可能過於理想化。雖然「只要有錢」似乎能解決所有問題,但在實際操作中還有其他要考量的因素。特別是在資安法的規範下,合約中必須明確註明相關的規定和要求。例如,你可能需要在合約中明確規定委外稽核的權利,並參照行政院的「受託者資通安全聯合查核指引」。
此外,為確保廠商的資安水平,你可能會要求他們具備ISO 27001的認證,或是其員工持有相關的資安證照。同時,合約中也應詳述在發生資安事件時的通報程序、在掃描出高風險弱點後的修復時程,以及廠商遵守SSDLC的要求。
為了確保系統的長期維護和發展,如果預見到未來可能會有經費問題,最好在合約中訂定一條款,要求廠商提供系統的原始碼。這樣,即使因資金問題而不能繼續與原始廠商合作,你也能確保已投入的資源不會白費。
最後的選擇就是自建。自建系統的最大優勢在於高度的客製化和相對較低的成本。與委外或購買套裝軟體不同,自建模式主要的投資是人力資源,而非外部資金。考慮到外部廠商在提供客製化功能時常會加碼收費,自建在某些情況下能夠帶來明顯的經濟優勢。
特別是對於那些經常需要調整和更新的系統,例如人事薪資系統,自建無疑提供了更大的彈性。各機關的操作流程和法規規定可能因時而變,這也意味著系統功能的調整和更新將是常態。若每次微調都需支付額外的費用給委外廠商,長期下來可能成為不小的經濟負擔。
然而,自建的缺點也是十分明顯的。首先,機關內部的資訊人員技能可能存在波動,且不一定能滿足所有技術需求。例如公文系統,當需要外部機關進行資料交換時,雖然基本功能不難完成,但要確保資料的穩定、安全、有效交換則是另一番挑戰。
再者,資安法的規範明確要求系統必須遵循SSDLC的標準。對於機關內部的資訊人員來說,這意味著他們不僅需要具備開發的技能,還必須熟悉和掌握相關的資安標準和規範。如果因為人員流動或其他原因而導致部分功能無法達標,那麼管理層將面臨一個棘手的問題:如何在保障資安的前提下,確保系統的正常運作和維護?
機關的對資安的態度將成為成功自建的關鍵。