敏捷與DevOps

你的企業是否早已有一套施行已久的 IT 服務管理（IT Service Management, ITSM）流程？ 以目前使用最廣泛的 ISO 27001 國際標準來看，ISO 27001 藉由全面性的指引協助企業建構資訊安全管理系統（Information Security Management System, ISMS），來達成資訊安全的三個主要目標 CIA： ISO 27001 基於 「規劃－執行－檢查－行動」（Plan-Do-Check-Act, PDCA） 循環過程來落地並且持續改善資訊安全管理系統，企業為了因應 IT 服務管理通常會設置專職團隊，並由該團隊推動企業內的資安治理，來確保企業所使用的資訊系統（內部服務）與所提供的資訊服務（外部服務）之安全性。該團隊亦是變更管理、稽核、資安事故的最後一道把關人。 有些經營決策者認為當 IT 邁向 DevOps 轉型時，只要將 DevOps 套上既有系統性的資安管理就可以快速地實現 DevSecOps。然而，傳統資安有幾個顯著 DevSecOps 落地的阻礙：

以客戶為中心是每個成功的企業所努力的方向！為了能夠更了解客戶，企業無不竭盡全力留存客戶的相關訊息，並且希望從中了解客戶的需求。隨著資料的範圍與量的增長，個資外洩所引發的企業風險正在慢慢地累積！ 可曾思考過或許你並不需要承擔如此大的風險？ 其實，企業可以把握 Privacy by Design (隱私納入設計) 的原則，並且將隱私融入DevOps 來有效地去除風險！ Privacy by Design (隱私納入設計) Privacy by Design 的概念是在 90 年代，由 Ann Cavoukian 博士所提出。從 GDPR 將其納入條文的作為，便可以知道這概念對於個資保護的重要性，而它的確也為企業提供了如何在個資使用與商業價值之間取得平衡的方法。這個概念主要包含了七大原則： 主動而非被動，預防而非補救 (Proactive not Reactive, Preventative not Remedial) 隱私為預設原則 (Privacy as the Default Setting) 隱私內植於設計 (Privacy Embedded into Design) 雙贏思維與決策 (Full Functionality – Postive Sum, not Zero Sum) 資料全生命週期的保護 (End-to-End Security – Full Lifecycle Protection) 透明公開 (Visibility and Transparency – Keep it Open) 以使用者為中心，尊重使用者隱私 (Respect for User Privacy – Keep it User-Centric) 從這七大原則不難了解，個資保護並非期望企業犧牲商業利益，而是希望企業與其客戶之間的利益取得平衡。

資訊安全管理系統（ISMS）對企業資產的全面保護加上 DevOps 對數位產品價值的驅動力，為企業帶來四大顯著價值： 1. 規範式敏捷 組織可基於最小可行治理原則達成企業目標，同時又能讓創新與響應變化保持彈性。 2. 降低成本 以自動化的方式進行持續整合、測試與交付，取代原先耗費大量人力與紙本的繁瑣驗證。 3. 可視性 以價值流為出發並以數據作為驅動，提升整體流程與資訊的透明度。 4. 業務持續性 透過關鍵指標的建立、持續性監控與快速響應，提升企業數位業務的韌性。 無論以利害關係人、工程人員或是稽核人員的角度，透過 DevOps 的實踐可大幅地促進組織在 ISMS 實施與審查的效率，讓企業在顧及安全性與可靠性的同時，保持市場的競爭力。 CPHT 擁有豐沛的實務經驗與領域專家，能夠為企業打造基於安全與有序的 DevOps 顧問與培訓方案。歡迎進一步了解我們的企業服務。

面對市場挑戰與突發事故，具備「韌性」企業能夠快速應變，並且降低傷害。無論企業是在探索新契機，力求轉型，還是在深耕既有業務市場，韌性無疑能為企業挹注更多的可能性。 在 VUCA 時代： 如何透過 DevOps 強化數位服務營運的韌性，而非只是淪為短期的收益？ 是企業導入 DevOps 所應思考的關鍵問題。 DevOps 關注心理安全的建立，以及快速響應變化與持續學習的能力，這正是組織強化韌性工程所需具備的元素。而融入資訊安全與隱私保護的 DevSecOps 更是可以提升組織的資安意識與打造數位免疫系統的能力，協助企業強化數位韌性。 CPHT 的培訓與顧問服務不僅考量了 Day 0 的暖身、Day 1 的落地實踐，更是關心 Day 2 的持續營運。想更了解如何在導入 DevOps 時兼具「韌性」？歡迎進一步了解我們的企業服務。