请问国内有外包合规的第三方资安公司吗?

大家受够找来的资安长，请问国内有外包合规的第三方资安公司吗?不专业、泡茶、只会邀功推责任，上面要我们去找第三方资安公司之前这个资安长是猎人头找的，简历好看，但实际...所以才想从业内推荐去找找看把资安长给拿掉，全部外包

我们是跨国生产公司，请问版友有推荐的公司吗?

• 贴合生产实际情况
• 能快速实施
• 能让公司没有法律问题跟风险
• 能让用户在方便跟资安取得平衡，而不是过度请问大概费用，谢谢!

2 个回答

17

Ray

iT邦大神 1 级 ‧ 2024-09-26 10:43:22

最佳解答

好奇想知道, 这位资安长的背景和经历?
(业界很小, 讲个大概就知道有没有料...)

此外, 你们想要合哪个规?

ISO 27xxx? (这里面有 40+ 种不同类别)
SOC2 Type2?
GDPR?
NIST CSF v1/v2?
NIST 800-53?
PCI DSS?
IEC 62443?
FIPS140?
ISO 21434?
MDR/MDCG?
SWIFT CSP ?
....

(我不知道你们的行业别, 所以随便抓各种行业)

相信你们对上面这些可能没有概念, 所以要反过来问:
你们会被谁要求合规?

先知道利害关係人对你们的要求到甚么程度? 才会知道要合哪一种规?
(没有一个股东, 会没事自己跳出来说:要把资安做到极致, 他一定是受到某方面压力...)
资安就跟 ESG/CSR 议题一样, 是花钱又不能赚钱的事情, 必须有很强大的动机才会做.

学术派出身的, 可能就会要求高大上, 把学术研究精华要求你们全部实践, 这样才有业界的实践绩效与成就, 能让他在学术界获得比较高的名气; 但他可能不会顾及你们的: 环境差异, 预算规模, 支援能力, 认知落差.

实务派出身的, 也会分两种:
一种红队出身, 非常在意零风险, 不惜投入鉅资也不要让资安部门来背锅...
一种篮队出身, 非常在意流程制度, 为了内控设下许多关卡, 卡死所有人...

你们要找的 (其实也是所有公司要的) 应该是:
1.能带公司所有部门鉴别出: 正确的风险来源和发生机率
2.能沟通并理解所有利害关係人关注的焦点, 并取得平衡
3.不只是表面取证合规, 还能稽核出各项控制措施的实践

找认证的导入顾问, 他只负责帮你导入取证, 但她不能保证: 你取证之后, 就能平安无事.

要找显赫背景, 各种认证资格的人, 只要花钱就找得到; 但是, 要找到能在公司有限资源之下, 规划出长程资安策略, 能逐步锁紧合规程度, 且能获得董事会信任, 愿意承诺资源投入的人, 可能要花很久的时间....

信任是资安投入的关键, 所以通常陌生人都不适合立马上任; 至少董事会成员, 要跟这位资安长有一年以上的合作经验, 才会知道两边是否能够磨合?

找资安公司也是个错误方向, 没有一家资安公司能为妳们的资安背书, 他们只是想把手上的产品或服务卖给你们而已, 出事了最多拍拍屁股解约走人(没有甚么赔偿条款喔, 有损失你们自己吞), 反正业界都知道: 资安不可能做到无风险, 迟早会遇到一次你挡不住的风险.

负责任的资安部门, 应该要教你们建立:数位韧性,
这远比单纯要求:没有资安破口, 还更来得重要.

11/29 我在台湾投资人协会有一堂线上课程, 专对上市公司董事讲解:
资安治理的盲点与对策, 你们可以先参考看看:
【TIRI线上董事、公司治理主管进修课程】漫谈资安治理的盲点与对策

• 
  6

看更多先前的...收起先前的...

望空

iT邦新手 1 级 ‧
2024-09-26 11:10:34

有些公司的资安长是为了挂而挂，避免稽查的

有些公司的资安长是为了挂而挂，避免稽查的

修改

小MIS

iT邦研究生 1 级 ‧
2024-09-27 08:44:04

此外, 你们想要合哪个规?

每次被稽查要求都不一样，也不知道要和哪个规，应该说要和客人跟当地政府稽查员脑袋里的规 Orz..

资安长的背景和经历?

交大资管.. 其他再说下去可能被吉(?

谢谢雷神!

> 此外, 你们想要合哪个规?</p> <p>每次被稽查要求都不一样，也不知道要和哪个规，应该说要和客人跟当地政府稽查员脑袋里的规 Orz..</p> <p>> 资安长的背景和经历?</p> <p>交大资管.. 其他再说下去可能被吉(?</p> <p>谢谢雷神!

修改

WUcheap

iT邦研究生 4 级 ‧
2024-09-27 09:13:49

看到"一种红队出身, 非常在意零风险, 不惜投入鉅资也不要让资安部门来背锅..."很有感受

目前公司资安遇到可能风险就是锁、挡、封，缺少分级、分类、分皆段等措施，导致与现行出入过大

看到"一种红队出身, 非常在意零风险, 不惜投入鉅资也不要让资安部门来背锅..."很有感受</p> <p>目前公司资安遇到可能风险就是锁、挡、封，缺少分级、分类、分皆段等措施，导致与现行出入过大<br />

修改

Ray

iT邦大神 1 级 ‧
2024-09-27 09:47:04

目前公司资安遇到可能风险就是锁、挡、封，缺少分级、分类、分皆段等措施，导致与现行出入过大

上面这种状况就是: 风险鉴别程序没有踏实地做, 大家都随便给分数, 各部门或各系统管理员又怕出事被责怪, 所以都给很严重的分数, 就变成: 鉴别出来每件事情都是高风险, 等于没有鉴别. (又或者根本没有做这个程序)

所以资安治理一定要有管理决策的高层参与, 有跨部门以上的高管, 才能决断出每个部门私心的偏误, 获得正确的风险分数.

同时也不要以为企业规模大, 他们就不会犯这种错误; 我见过某非常大金控的资安部门, 就是用这种心理去设计控制措施的, 搞到业务部门人仰马翻, 掉客户也在所不惜. (因为他们被金管会罚过好几次, 所以杯弓蛇影, 看到影子就往死里打)

> 目前公司资安遇到可能风险就是锁、挡、封，缺少分级、分类、分皆段等措施，导致与现行出入过大</p> <p>上面这种状况就是: 风险鉴别程序没有踏实地做, 大家都随便给分数, 各部门或各系统管理员又怕出事被责怪, 所以都给很严重的分数, 就变成: 鉴别出来每件事情都是高风险, 等于没有鉴别. (又或者根本没有做这个程序)</p> <p>所以资安治理一定要有管理决策的高层参与, 有跨部门以上的高管, 才能决断出每个部门私心的偏误, 获得正确的风险分数.</p> <p>同时也不要以为企业规模大, 他们就不会犯这种错误; 我见过某非常大金控的资安部门, 就是用这种心理去设计控制措施的, 搞到业务部门人仰马翻, 掉客户也在所不惜. (因为他们被金管会罚过好几次, 所以杯弓蛇影, 看到影子就往死里打)<br />

修改

WUcheap

iT邦研究生 4 级 ‧
2024-09-27 10:07:27

杯弓蛇影, 看到影子就往死里打...恩~~心有戚戚焉

杯弓蛇影, 看到影子就往死里打...恩~~心有戚戚焉

修改

DennisLu

iT邦好手 1 级 ‧
2024-09-27 11:59:58

一些情况，终极目标就是取证合规，告诉外面这公司有得到认证的头衔

客户就会开始要求厂商要有，厂商为了生意当然是尽力取证合规。

一些情况，终极目标就是取证合规，告诉外面这公司有得到认证的头衔</p> <p>客户就会开始要求厂商要有，厂商为了生意当然是尽力取证合规。

修改

0

CyberSerge

iT邦好手 1 级 ‧ 2024-10-08 00:58:10

要找Virtual CISO/ vCISO，通常遇到的问题是:你怎么知道这个人是否有足够的经验的知识符合需求?