我們談到無論是自建還是委外都需要做SSDLC

這真的不是一件簡單事

所稱的SSDLC，實質上是將資安因素融入傳統的SDLC中。

傳統的SDLC流程基本上可以簡化為「需求、開發、部署」三大步驟。但為了更詳盡地涵蓋各階段的重要性，我們進一步細分為以下六個階段：

需求分析
系統設計
開發實作
系統部署
持續維護
系統終止
每一階段都需充分考量資安的實施和監控，以確保整體系統的安全性與穩定性。

今天我們要深入探討「需求分析」這個階段。

需求分析的核心是平衡外部的法規要求與內部的實際需求。從法規的角度，資安法已明確指出，任何新的資訊系統開發都必須遵循SSDLC的規範。因此，在這階段，資訊系統的分級是非常重要的，第一步就要請資安長了解系統的安全標準。

關鍵的因素是「個人資料」。只要系統涉及到個人資料的蒐集和處理，它就必須被分級為中級以上。這帶來了一個重要的問題：我們真的需要蒐集這麼多的資料嗎？

解決這問題的策略有兩個：「向上集中」和「風險轉移」。

「向上集中」意味著，如果上層的主管機關已有現成的系統，那麼我們應該優先考慮使用它。

而「風險轉移」的策略是將某些風險部分轉嫁給其他方。比如說，一個部門想要開發一套系統，但他們可以選擇利用資訊中心提供的AD目錄伺服器來進行使用者管理，這樣就能避免直接涉及到使用者資料的蒐集和處理，進而降低風險。