ITIL 資治通鑑

2012 SGS個人資料管理講座

個資法最新發展暨個資管理系統有效落實分享

在我國新通過的個人資料保護法規範中，企業主除須面對個人資料外洩可能產生的責任外，賠償的最高總額更大幅度增加至2億元！面對新版個資法的要求，企業如何規劃流程中對於個人資料的蒐集、處理與利用程序並建置有效的管理系統，將會是企業面臨的一大挑戰。

此講座除了將邀請資策會法務專家說明「個資法與施行細則最新發展」外，更邀請到立法院資訊處分享他們「個資管理系統導入經驗」，SGS也將於會中說明如何有效落實個資管理系統，讓組織能維持和改善對資料保護及優良實務的遵循。

n          活動日期台北場-101年2月14日 /新竹場-101年2月16日/高雄場-101年2月17日

文章開始前，先跟持續關注此部落格的讀者道歉，筆者太疏於用功，真是汗顏!! 鞠躬致歉!!!

最近到了不少機關單位演講 ITIL/ ISO 20000，說實在的，機關單位對於 ITIL 導入的興趣缺缺，從演講的參與度可略知一二，位置是坐滿了，但是呼呼大睡的比例頗高。筆者曾自我反省，是不是今天笑話講得不好笑? 數量不夠多? 還是演講技巧下降? 舞台魅力不夠等等… 不過側面了解後發現，其實在很多資訊技術人員心中，視 ITIL 是理想的烏托邦，幾近遙不可偶及，是一條漫長的道路，而且牽涉範圍規模之大，非你我二人可以成事，故事不關己，己不關心，有些事有了解即可，真正要去做，時間成熟了再說吧…

反觀最近另一個演講的主題：BCM (營運持續管理)，受歡迎的程度就呈現極度的反差了!! 看著台下專心的眼神，心裡不禁懷疑，這些人是上星期我來演講 ITIL 的同一批人嗎? 還是午餐有附贈咖啡? 每個人對於這個主題十分關注，並且躍躍欲試提出許多問題，真是出乎我的意料!!

分享一個訊息，為持續配合行政院國家資通安全會報推動國內各政府機構及公民營事業機構建置資訊安全管理系統(ISMS)，以降低我國整體資訊安全風險，強化資訊防衛能力，經濟部標準檢驗局(BSMI)與台灣檢驗科技股份有限公司(SGS)共同主辦，中華民國資訊安全學會(CCISA)承辦「資訊安全管理系統標準化系列討論會 」，即將於7月17日於台中登場，也歡迎所有關心資訊安全的朋友們可以屆時與會， 一同討論新興趨勢與發展。以下是研討會的資訊：

時間：7月17日(星期五)
地點：臺中市南區工學路70號（經濟部標準檢驗局臺中分局大禮堂）
報告方式：一律以email報名：iso.service@bsmi.gov.tw

最近一直有人問我，已決定要採購 ITIL 工具來協助導入，要選擇哪一個工具比較適合? 很可惜，不是每一項工具的功能我都十分熟捻，故無法提供具體答案，不過，依最近的軟體發展趨勢而言，SaaS (軟體即服務)是一種即將演化而成的新資訊服務架構，企業組織可以研究一下可行性，並且考量是否適用於 ITIL 流程管理。

以前大型企業(如銀行業、電信業等)習慣採購大量大型主機及套裝軟體，亦或是組成為數可觀的開發團隊自行建置，建立符合自身需求且於封閉環境之內的資訊服務及系統，好處是量身定製，自身具有主導權，展現相對資訊安全性，但壞處則是開發、維運成本高，隨著日子一久，資訊系統逐漸形成巨大的怪獸，等到無法駕御之時，只能重新打破再來過，又是一次次龐大的支出，因此你會常到某系統2代、3代等的字眼，而另值得注意的是，能成功改版是理想的狀況，最怕是無能為力，只能困在舊系統功能，進而限制住企業營運的發展。

未來在 SaaS 的風潮推動之下，目前許多資訊廠商，利用 Web 2.0 的特性，企圖結合雲端運算的優勢，將資訊服務完全架構於網路服務之上，建立起新形態的委外服務營運模式。少量多樣的服務特性，可廣泛符合各類型顧客之所需，網路頻寬的成長及雲端運算的理想，也讓服務效率不會是你疑慮的項目；試推想，若撇開資訊安全的爭議，不久的將來，企業會發現許多資訊服務在網路上即可取得，不必再自行開發，而且往後的維運，包含硬體及軟體，都由資訊供應商負責，或許，日後連電腦機房都不再需要，企業組織資訊部門只須專案管理員、技術專家及委外管理專家等。

前些日子跟工研院的組長們討論，ISO 20000/ ITIL 對政府組織有何效益之議題，這的確是很多主管關切的重點。

其實台灣政府機關一直以來，並不十分重視各機關的資訊單位及其服務，所以主管機關的政策方向是建議資訊服務「儘可能」委外，造成了目前各機關資訊單位技術人員不多，高度仰賴外部資訊廠商支援的現象。也許公職人員培養純技術人力有其難度，衍生造成資訊服務委外的決策，不過資訊高度委外的現象，倒是造成了不少負面的奇怪現象；譬如，部份機關單位的資訊人員無法深入掌握核心技術及架構，任由資訊廠商左右，甚至嚴重時會影響到機關單位的營運服務品質；而針對此現象，往往只能怪所託非 人，頂多透過合約上的規範進行罰款、懲罰的爭議處置，不過無論勝負誰屬，傷害已成，只能寄望下一次的採購委外，能夠找到優質的資訊廠商，不要重蹈覆轍。

為了避免資訊廠商的軟體開發能力不足，政府機關單位對於資訊廠商的軟體開發成熟度(CMM)，於標案內已有某種程度的要求(e.g: Level 3 以上)，希望資訊廠商提供軟體開發的成熟度能力，來證明可勝任資訊系統開發的技術。不過，上述規定針對資訊系統開發案較為合適，還有許多維護專案，要如何要求資訊廠商的維運能力呢? 資訊廠商又如何展現自己優良品質的維運能力呢?

日前與許多顧問討論，有關 ISO 20000 推動與導入的甘苦談，顧問們紛紛看壞今年 ITIL 在台灣的發展，在缺乏充沛金援及企業主的支持之下，已有度小月的心態來暫渡難關，寄望來年經濟好轉再藉機大展身手。我十分理解這些顧問朋友的心情及處境，甚至有人看衰 ISO 20000 的未來，這也是可以預期的…不過，我倒是提出另一個新思維，讓顧問及客戶重新來了解 IT 治理導入的觀點。

經濟短時間不會好轉，這已是必然的趨勢，企業主在營運收益不穩定的狀態下，「生養休息，以訓備戰」是許多企業今年的重要方針，預期今年資訊教育訓練的市場，將會有可觀的成長，尤其是具備考取證照的課程。不過，許多人上完 ITIL 或 ISO 20000 相關課程後，卻出現了一些令人意料之外的負面反應；「這不是我們能玩的東西，規模太大!!」、「預算可能要上看千萬，老闆可能不會准!?」、「這資訊服務管理立意甚佳，但一旦導入，事情會多到做不完!!」…

反過頭來檢視這些反應，ITIL 可適用於所有大小不同規模的企業，不一定要使用高費用的自動化工具，而且它的導入效益是使效能提昇，品質確保，還能有效掌控成本支出。為何這些課程上一再強調的重點，卻是上完課部份學員們的心中恐懼呢? 是講師的錯誤講解，還是學員們吸收理解錯誤呢?

簡單說明了 Event Management 的理論，回到現實世界，來談談我周遊許多公司資訊環境後，常見的管理問題。

個人曾經到訪過一個地方政府資訊單位，該單位規劃出不錯的 Log Center 功能，以 Web Service 為所有軟硬體環境界接的界面，去接收所有 Event 訊息，各系統依照五大類別去分類呼叫，集中整合所有 Log，最後連接 SMS 及 Mail 平台去通知相關承辦人及廠商，進行必要的處理。上述例子是不錯的 Event Management Process Design (落實度還未完整)，成本也相對昂貴，也有比較簡易平實的做法，就是寫 cron-job 全部收進來，再列印報表去審視。

無論是哪種管理流程，個人曾見過的 Event Management 問題如下，供大家參考：

Event Management Process 可以很簡單，譬如簡易的伺服器及應用系統 log 收集；當然也可以很複雜，詳如 ITIL V3 理論內容，它勾勒出完整的處理程序及流程，輔以不同狀態的子流程因應，以供有興趣之企業組織參考。

Event Management Process:

一、Event Occur, Notification and Detection
在服務設計階段，應儘量邀請各流程、角色參與討論，並針對"重要"區域及服務進行 Event 偵測及通報的機制，若預算許可，則應盡可能以自動化去收集並接受 Event 通知，降低人力維運成本。

又到了歲末年終之際，通常企業會在此時預估明年的企業成長展望。不免俗地，很多朋友也常問我，ITIL 明年的展望 (in Taiwan) 會好嗎?

老實說，在金融海嘯的摧毀性侵襲之下，大多數企業明年在各方面的投資應該是趨近凍結，連人員飯碗都保不住了，更別提積極性的資訊服務改善規劃…不過，若以市場產品週期來看，台灣資訊業界 management framework solution，拜政府機關強制要求所賜，近 2 年以資訊安全為發展重心，而且這一把火燒得轟轟烈烈，筆者行程滿檔直到農曆年後，每天到不同單位進行資訊安全稽核，由此可知，台灣各機關單位對於資安有一定的重視(有關資安議題十分有趣，其實可以再開一個版來細談，但…我目前應該沒那個美國時間…)；但隨著資訊安全驗證的最後期限將至(註一)，資訊顧問業界紛紛尋找下一個產品明星，預料 ITSM 及 BCM 將是下一波可受期待的資訊管理論。

造化弄人，時局實在太壞，照循環的理論而言，好不容易資訊安全漸歇，該輪到 ITIL 大放異彩時，這一波全球金融海嘯又把這個時間點往後無限期挪延，因此，筆者個人是抱持著「度小月」心態來看待，不過經濟衰退之際，是菁英充實自己的好時機，最近有一些書刊也提到 ITIL 證照的必要性及未來競爭優勢，因此，為了在未來某適當時刻可以 join ITIL wave，當個 qualified 的顧問或中高階管理人才，有興趣的朋友倒是可以在今年好好研究 ITIL，並放眼未來；另外有一點一定要提醒大家，只拿 ITIL Foundation certificate 是不夠的…。 

如果您也是熱心吸收 ITIL 第一手新知的同好，告訴您一個好地方，全球同步最新 ITIL 概念的分享園地：itSMF e-Symposium，一定不容錯過!!

其實 itSMF international 這個創舉真是令人感佩，召集全球頂尖各企業或專業領域之 ITIL 專家，每月於線上召開講座及座談會，讓全球資訊學人可以吸收第一手新知，此貼心服務讓身在台灣的筆者感激涕零。很多人可能不太了解此服務之內容，讓筆者分享一下使用經驗：首先您要先註冊成為 itSMF 的會員，然後 itSMF 會定期透過 e-mail 告知你新講座訊息(不只一次通知，數天前先寄一封，當天再來一封，一個小時前又來一封!! 貼心!)，各會員視題目之吸引程度，可自行決定是否按時上線收聽及閱覽，例如 11/20 是有關於 Service Desk 的議題，筆者有興趣，就上線拜讀了一番。

通常而言，台灣的收聽時間是晚上10點，約莫一個小時的時間，包含 3 個相關連的議題(例如皆與 service desk 有關，但是由不同顧問、企業或學者來主講)再加上最後一個座談。線上收聽時，網頁會播放投影片搭配，讓您有如身歷現場；更貼心的是，投影片還可以下載!! 此外，在每個議題講授完畢後，為增進互動，也有一個即時傳訊的網頁空間，開放全球各地的聽眾輸入欲詢問的問題，讓講授者可以代為解惑。 真是佛心來著的!!