產業動態

資訊服務轉型的挑戰 化被動為主動

安侯企業管理股份有限公司致力於提供企業之各項管理諮詢服務，並以產業知識與最佳典範來提升服務品質。服務對象含括金融、科技、媒體、電信、消費、工業、基礎建設、政府、醫療、以及私募基金等產業，為目前國內最具規模的專業諮詢服務組織之一。

『關鍵要素』

傳統的資訊管理方式，或許得經過一番調整，才能在現今瞬息萬變的高度競爭產業與市場環境下找到突破點，如果企業還是只將資訊管理定義為經營管理上的後勤支援角色，又或者是政府機關在強力推動電子化政府、提升為民服務品質的政策目標下，卻仍以傳統思維來看待資訊單位所能發揮的功能，所面臨的結果，不是錯失搶得市場優勢的機會，就是可能讓自己陷入風險危機之中。

從近年來資訊應用環境的演進來看，資訊科技的發展正在改變人們對資訊服務的使用行為，而這也勢必牽動組織對資訊服務的規劃，無論是決定如何提供服務或是決定採用何種服務。在資訊技術和應用服務快速發展與推陳出新、相關法令也必須跟著修訂以符合需求的情況下，企業或政府單位所面臨的挑戰更為艱鉅，必須更全面地檢視自身的業務流程以尋求突破。而在既有環境與資源條件的限制下，試著改變及重新定義資訊服務的功能角色，於既有的管理支援功能外，能化被動為主動，提供策略與決策的支援，不失為解決之道。

組織若要改變資訊服務的角色，面對內部與外部環境挑戰，首要克服的就是資訊安全與資訊服務品質的根本問題，畢竟在人們對資訊服務的依賴度與黏著度提高，以及對自身權益和隱私保護意識抬頭的氛圍下，一絲的疏失，都可能造成災難性的結果，因此組織提供的資訊服務，不但必須在安全性與可靠性取得使用者的信賴，如何以最有效益的方法確保資訊安全與資訊服務品質符合各方期待，也考驗著經營管理者的思路和策略前瞻性。

KPMG提供管理與風險顧問服務，內容包括企業績效、資訊科技與商用軟體、財務風險管理、風險管理、內部稽核與遵循、以及會計諮詢等項目。對於交付給客戶的服務內容品質，以及所接觸到的客戶機密資訊，必須確保其符合客戶的期待與要求，因此，KPMG也開始思考如何在提供客戶諮詢服務的同時，能強化專案品質以及資訊的保護。所以在2008年即針對資訊科技諮詢服務的業務，導入資訊服務管理系統（ITSMS）及資訊安全管理制度（ISMS），並且成功通過及取得ISO 20000、ISO 27001國際標準認證，2012導入個人資訊管理系統（PIMS），並且於2013年成功通過及取得BS 10012標準認證，以及完成第三方公正單位之個人資料保護法規遵循查核。KPMG成為全球第一家同時通過BS 10012、ISO 20000、及ISO 27001國際標準認證的專業諮詢服務組織，除了強化客戶的信賴基礎，提升專案服務流程效率，以及確保專案相關客戶資料的安全。透過導入過程的自身實現經驗，也累積更多提供客戶諮詢服務的能量，包括專案團隊經驗，以及管理制度整合的規劃能力，充分體會資訊服務與資訊安全管理制度推動所遭遇的困難及專案挑戰，而在未來提供客戶服務時能針對可能的難題預作防範。

『資訊管理的雙箭頭-整合安全與服務品質』

鑑於資訊服務的根本，必須以安全及品質為基礎，KPMG透過導入資訊服務、資訊安全、個人資料保護管理制度，來建構一個可信賴的資訊管理環境。而在導入的過程中，也碰到不可避免的挑戰，首要的問題就是如何整合不同的管理系統，以發揮組織最大的效益？

■整合管理系統框架

資訊服務、資訊安全、個人資料保護管理系統，其管理範圍、目標及框架存在根本的差異。以資訊服務來說，是以流程管理為基礎，以「服務」的角度來管理資訊服務的品質，資訊安全則是以「管理」的角度來發展資訊安全控制措施，而個人資料保護則是以「遵循性要求」的角度來檢驗組織的作業流程。因此第一步的整合目標，就是在不同的管理制度中異中求同。例如不論是那一個管理制度，都是透過PDCA循環的運作來持續精進，而在查核（Check）與改善（Act）上，三者可以用相同的管理精神來實作，因此在內部稽核、管理審查、以及矯正作業，建立全公司共通適用的程序，除了可以減少重複的作業，也有助於個別管理系統更聚焦於規劃（Plan）與執行（Do）作業。另一方面，透過管理框架的異中求同，也可以針對管理系統文件加以整合，解決共通適用程序的文件與表單一致性問題，降低維運的負擔。

■管理流程-致性和標準化

不同的管理系統，彼此間還是有相同的規範事項，如何解決相同規範事項卻有不同定義、作法的情況，KPMG所採行的方法，就是尋求一致性和標準化，以及找出可引用參照的部份。以事件管理為例，在ISO 27001與ISO 20000都有相關的規範，但是ISO 20000在事件處理上的定義與規範較為完整，若在發生事件（故）時，能統一引用ISO 20000事件管理的事故與服務請求流程，就能解決內部定義與作法不一的問題。又例如在個人資訊管理系統提到的安全問題，包括對安全控制措施、資料的儲存、處理、傳輸、及存取控管的要求，都可以參考ISO 27001的作法，而不必再自行定義。

以上的例子不一而足，這其實也是整合過程中最費心力的地方，但透過這樣的過程，KPMG也建立相關的方法論，並累積相關的實作經驗，可以在未來更快速的協助客戶建立及整合管理制度。

■管理流程重點深入

若管理制度不能整合，對組織而言可能造成資源配置上的浪費，以前面所提到的事件處理為例，採用共通的事故與服務請求流程，可以減少管理流程的重複性，但是否會因此形成其他的問題，例如對資安事件的處理會不會不夠嚴謹？其解決方法，就是以範圍較大的ISO 20000作為管理框架，但是對於資安事件的管控與處理，則是採用ISO 27001在資安事件處理上，對程序、權責、通報、升級處理更詳細深入的作法，就可以兼顧風險考量及效益。

透過整合資訊服務、資訊安全、個人資料保護管理制度的實作，KPMG能以更有效率的方法，協助自身與客戶就資訊管理功能的安全與品質指標，奠定更紮實的基礎。

『行動辦公室應用-專案管理如虎添翼』

針對專案的品質管理、驗收管理、溝通管理、專案團隊績效管理等專案執行的重要程序，以及相關的進度與績效監控，KPMG除了透過專案管理辦公室（PMO）進行完整之專案管理規劃及執行監督工作，以及依照全球一致的顧問諮詢專案執行指引的要求進行，以確保各執行階段的相關活動與產出，都能達到一定程度的品質、效率以及風險控管，有效率的工具也是不可或缺。

為了提升資訊服務與專案管理的效能，KPMG自十年前即已觀察到資訊行動化將成為趨勢，因此即著手規劃將行動化的概念轉化為實際的應用。

從概念雛型到發展成實際應用，KPMG初步以不涉及公司敏感資料的項目切入，自整合員工社交用途的通訊功能著手，來強化公司與員工的關聯，並以試水溫的方式了解員工的接受度，以及檢測公司對整合相關系統功能的規劃、管理、開發、技術能力。在獲得初步成功，包括協助員工快速取得資訊、方便內部與外部客戶聯絡等顯著的成效、以及更重要的是降低公司與員工的通訊成本，KPMG即將與客戶服務相關專案的資訊服務應用，納入下階段行動辦公室應用的規劃整合目標，而所開發的行動辦公室APP，即是此一規劃的應用試金石。

KPMG的行動辦公室APP，具體呈現資訊服務應用的趨勢，由於智慧型行動設備的快速普及，企業日益重視BYOD的應用與效益。而行動辦公議題持續延燒，行動應用與企業現有系統若能接軌將有效提升效率，在行動化服務、雲端服務、大數據的應用趨勢下，終端行動的APP，極有可能成為企業提升競爭力的利器，而以往讓人擔心的安全問題，也由於行動裝置管理系統（MDM，Mobile Device Management）漸趨成熟，可以讓企業快速佈署企業應用與有效管理行動裝置，以及強化其安全性，使企業在資訊安全的控管議題更具信心，KPMG也是在確認安全問題可以獲得解決後，才放手規劃進一步的應用。

KPMG應用新科技來強化專案的溝通管理，如整合式通訊技術通訊工具，及自行開發的行動辦公室APP等機制，專案成員可以使用加裝安控軟體的行動通訊設備（如智慧型手機或平板電腦等），迅速安全的接收來自客戶的電子郵件、市內電話、行動電話、傳真、語音留言、電子公文、電子文件等專案相關的溝通訊息與數據資料，並即時回覆。

而除了行動辦公室APP， KPMG也開發及建置IP Phone與整合通訊系統、手機節費系統、智慧型傳真系統、電子表單系統、文件管理系統等其他應用，並具體反映企業在即時性、便利性、機動性的效能。KPMG也正在擴大行動應用的範圍，包括會議管理APP、自動語音會議APP、以及企業Line即時通訊等，期望能帶來更大的效益。

透過自身多年行動辦公室應用的經驗，做為諮詢服務的職責使然，KPMG也希望有機會能將這樣的應用推廣給客戶，協助客戶改善企業效能和節省成本。藉由對企業應用的了解，以及通信整合、網路應用、行動APP的整合能力，結合行動通訊與企業流程應用，在不需要調整企業系統與基礎架構，帶給客戶無縫接軌的全新感受，並且在KPMG行動應用既有的經驗基礎下，以精準的行動應用投資來提升企業效率。