企業在導入資安國際標準時,確認完前篇所提及之需求確認後,緊接著就要盤點組織現有資源,以利未來的標準驗證整題規劃.
資源確認會主要分成兩個章節進行描述:
團隊資源:
團隊資源取決於公司重視程度,以及透過團隊成員的能力所能取得的資源,如:
公司全年資訊經費為何?資安經費又佔資訊經費的多少?
以本年度行政院公共工程委員會副主委葉哲良受訪時表示:
工程會的資服採購規定要獨立框列計算資安費用,未來,工程會就可以針對各部會資服採購做統計,可以更直觀的看出,資安費用占整體資訊費用的比例為何,目前美國公司資安占資服費用比例大約8%~9%,一些高科技公司大概15%。
以本年度IThome調查指出:
隨著新興科技的發展,各個行業在IT領域投注的資金,去年IT預算占企業營收的比例只有2.7%,今年這個比例再度提高,IT預算占企業營收的比例達到了3%。在此基礎下,2023年的資安佔IT預算的7.4%;2024年的資安佔IT預算的6.3%
以我國主管機關明文要求為例:
依據資通安全管理法(以下簡稱本法)第九條規定,公務機關或特定非公務機關於本法適用範圍內,委外辦理資通系統之建置、維運或資通服務之提供,應考量受託者之專業能力與經驗、委外項目之性質及資通安全需求,選任適當之受託者,並監督其資通安全維護情形。為協助公務機關及特定非公務機關於本法適用範圍內委外辦理相關作業,補充說明委託機關依本法施行細則第四條規定選任或監督受託者之相關行政流程及應注意事項,特訂定本措施。
於上述所提及之資通系統籌獲各階段資安強化措施中,第三點(委託機關於資通系統籌獲時應依下列作業方式辦理)第一節(需求階段)第二小點中要求:應估算資安資源需求:委託機關除應評估訂定受託者應配置之資通安全專業人員人數及所需能力等相關需求外,應至少以資通系統籌獲案資訊經費百分之五估算資安經費
而以本公司為例:
本公司著重在每年投入的資源/安全措施是否相較前年有所增加,以2021至2022年為例,資安經費總共增加了13%,重點增加項目為外部顧問服務與日誌安全管理平臺服務升級/置換
參考資料:
行政院公共工程委員會相關資安經費文章:https://www.ithome.com.tw/news/162943
IThome 2024經費調查:https://www.ithome.com.tw/article/162786
資通安全管理法:https://law.moj.gov.tw/LawClass/LawAll.aspx?pcode=A0030297
資通系統籌獲各階段資安強化措施:https://www-api.moda.gov.tw/File/Get/acs/zh-tw/souNVM0Ysu0L9Dd