文 / 邱詩琁
有關BS7799
被公認是目前最完整的資訊安全管理系統標準BS7799,包含有PART1和PART2兩部份,PART1為系統建置的指導綱要,PART2則是資訊安全管理系統的認證需求及公正稽核的依據。由英國標準協會(BSI)所制定的BS7799並已獲國際標準組織(ISO)引用並頒佈為國際標準ISO/IEC17799,經濟部標準檢驗局並已於去年將其中文化,頒佈為國家標準CNS17799/17800。
BS7799包含了10個管理要項、36個管理目標、127個控制方法,可供不同企業依據自身產業的特性、需求,選擇合適的控制方法,將風險降低至可接受的程度。而十個管理要項中包含了:資訊安全政策、組織的安全、資產分類管理、人員安全、實體及環境的安全、通信與操作原理、存取控制、系統開發與維護、業務持續性管理及相關規範之符合。
組織要通過BS7799之驗證,需通過認證單位之稽核,負責稽核的人員最基本的就是需取得BS7799 Lead Auditor主導稽核員之證照。目前國內除了BSI在台灣的分公司有開BS7799 Lead Auditor的訓練課程,包括BSI、IBM、KPMG、鈺松國際、恆逸資訊等皆有開設BS7799 Lead Auditor課程,若要瞭解BS7799,除了有書面教材外,也有廠商推出光碟版本。
ISO/IEC 17799 and BS7799 |
BS 7799 ISMS資訊安全管理系統分為BS 7799 part 1 & part 2兩部分,其中:BS7799 part 1 (Code of practice for information security management資訊安全管理作業要點)主要是作為參考文件,提供廣泛性的安全控制措施,作為現行資訊安全之最佳作業方法,其中包含10個控制措施章節,但不作為評鑑與驗證標準。
BS 7799 part 2:2002 (Specification for Information Security Management Systems資訊安全管理系統要求) 係根據BS 7799-1:2000,提供資訊安全管理系統(ISMS)之建立實施與書面化之具體要求,依據個別組織的需求,規定要實施之安全控制措施的要求。
|
BS7799 Lead Auditor課程內容、考試方法最近通過BS7799 Lead Auditor考試的異術科技專業工程師羅志宏表示,五個整天的課程上下來,實在蠻累的。目前坊間的課程規畫多為五個整天,最後一天下午則考試驗收成果,若未能通過,還有補考的機會。課程的內容規畫除了老師講課外,分組討論、報告也佔頗大比重,為的是讓學員能把課本上的管理目標、控制方法活用在自己公司的實際狀況中。
因此在測驗部份,除了選擇題、簡答題、詳答題外,還有情境題,比方說描繪一辦公室內員工的種種行為,讓應試者去判斷哪些行為違反了資安的規定等。羅志宏提到,考試時可以翻書,不過若是對課本內容不夠熟悉,翻書速度不夠快,可能就無法在時間內完成所有考題。
而目前市場上五天的課程收費多為五萬元左右,價格並不便宜。不過該認證的特殊處在於學的是資安的管理規範,瞭解了BS7799後,除了可協助在企業內部推動外;對於從事資安的廠商而言,越來越強調提供資安服務而非單賣產品,服務團隊領有多少資安相關證照可加深客戶的信賴,有極大的加分作用。羅志宏表示,上過課後對資安有更全面的瞭解,也有了不同的思維角度,在協助客戶導入專案時,還能協助客戶從政策、管理面做更通盤的考量,提供更多的附加價值。因此有些公司會提供補助讓員工上課,取得證照對個人、公司都是利多。
而目前市場上的相關課程以往皆遵循UKAS的要求,最少上課時數為36小時、教師隨堂最少上課時數為28小時。不過IRCA在最新公佈的ISMS主導稽核員訊練課程規範中,則要求最少上課時數及教師隨堂最少上課時數皆為40小時。為了讓取得證照的學員未來得以和國際接軌,鈺松國際在今天7月開設的課程已調整為符合IRCA的40小時要求。
相關開課單位: |
?BSI: http://www.bsitw.com.tw
?IBM: http://www-901.ibm.com/tw/Shop/education/course_ISMSLA.html
?KPMG: http://www.kpmgsecurity.com.tw/training.asp#
?中華資訊安全管理協會:http://www.iss.com.tw/education/course.php?id=ISMS-510
?恆逸資訊: http://edu.uuu.com.tw/certify/all-BSi.htm
|
另一選擇:踏上稽核員之路至於取得BS7799 Lead Auditor證照後,若有意從事BS7799外部稽核的工作,還需具備哪些條件?BSI台灣分公司大中國地區訓練經理蒲樹盛表示,每家驗證公司對公司內稽核員要求不一,以BSI為例,除了最基本需取得BS7799 Lead Auditor證照外,經驗是最為重要的,因此BSI要求新進稽核員需跟隨主導稽核員累積達20天共480小時的實際稽核經驗,才能成為正式的稽核員。
蒲樹盛同時指出,目前國內取得BS7799認證通過的8家公司中,有7家是由BSI驗證發照,目前市場的需求量還不大,以平均一家公司需三、四個驗證天數來推算,需要有好幾個案子才能累積達到20天的經驗,因此目前BSI台灣分公司也僅有他一人為符合要求的稽核員。
不過隨著BS7799市場的逐步推廣,再加上國家資通安全會報要求A級單位需在明年底率先通過BS7799認證。相信BS7799的市場將會逐漸增大,藉時包括對提供驗證的公司、稽核員、相關課程及課程講師的需求都將擴大。目前市場內已開始擔憂可能會發生證照濫發、課程浮濫的狀況,蒲樹盛認為,這其實也取決於受驗證單位取得證照的目的,若有心做好資安,自然會尋找有公信力、有實力的單位,他強調取得BS7799證照只是個結果,重點是導入的過程,讓組織真正能落實資安管理,降低風險,才是最大的收獲。
蒲樹盛並指出,稽核員只是在最後階段負責驗收成果,最重要的是導入過程中顧問的協助,因此找到有經驗、專業的顧問來協助企業導入ISMS更為重要。而國內首家全公司導入並獲得證照的宏瞻公司,導入過程並未委請顧問公司協助,而是由負責推動的人員上過BS7799的相關課程,再自行研究、自行導入,若有問題時還能詢問講師、請求協助。羅志宏也表示,上課的收獲除了對BS7799的瞭解和取得證照外,由於講師來自BSI,可以分享實務經驗,課堂上還有來自不同單位的學員互相切蹉,是上課的另一大收獲。
另一資訊安全人員證照CISSP獲美國CertCities.com Magazine調查選為最佳投資報酬率(ROI)證照,在全球十大熱門電腦認證中,由2002年的第10名上升到2003年的第5名,並已納入工業局補助計劃中,凡符合資格者補助後價格可減半。 |
慎選驗證機構、稽核員 抵制市場流於品質低落 低價搶案 需要特別留意的是,若有心導入ISMS,通過認證領取BS7799證書,必需慎選驗證公司。除了公司需獲驗證機構稽核通過外,各家驗證機構上面還有一認可機構,如英國的UKAS,是獲國際公認的認可服務公司,必須是由UKAS認可的機構所發的BS7799證書才獲國際認同。若發證機構未經認可程序,表示其上並無監督單位檢視,所發的證書自然不具效力,而變成了只是獲此驗證機構認可的證書了,發展較久的ISO品質控管就有此現象發生。
BS7799由於在台起步未久,但隨著知名度漸開,恐有不肖廠商看有利可圖也來分一杯羹,打壞市場行情和品質,若想瞭解哪些驗證機構已獲UKAS認可,可上網查詢:http://www.ukas.com/new_docs/CB-directory.htm。該名單每月會做更新。其中,QMS代表:品質管理系統(ISO9000)、EMS:代表環境管理系統(ISO14001)、ISMS便是資訊安全管理系統 (ISO17799/BS7799)。另外,中華民國認證委員會http://www.moea.gov.tw/~cnab/ (CNAB)亦計畫針對國內的BS7799驗證機構進行認可,可能延用國外的認可標準和程序。
針對驗證機構的稽核員,UKAS也有規範,包括學歷、經歷和稽核經驗。其中最重要的稽核經驗規定需有20天以上之經驗。不過要特別區分的是,上過BS7799 Lead Auditor課程並通過考試,和成為獲國際認可合格的稽核員是兩回事,上過課通過考試只是最基本的要求。因此除了慎選廠商,該稽核員是否合格也需留意。在UKAS的要求中,也規範了學經歷的技術代碼,稽核員若是未具備受稽核單位行業別、領域的知識背景,難以去稽核;且要累積滿20天的實際稽核經驗,若以台灣目前通過案子的數量計算,實屬不易。因此若有廠商表示旗下有多位合格稽核員,需特別留意。
稽核員養成訓練之一的BS7799 Lead Auditor課程,同樣也受到規範,包括課程內容、上課時數、講師人數、講師資格等。目前國際公認的IRCA認可機構(http://www.irca.org/home.html )對此有訂定標準。IRCA亦是一獲全球公認的認可機構,主要是針對稽核員及訓練課程做驗證,針對開設課程的組織同樣有規範要求。因此獲得IRCA認可的稽核員及課程便具有國際承認的資格。
由中國民國電腦稽核協會與Bsi台灣分公司所共同舉辦的BS7799 Lead Auditor課程至目前為止已開了20多堂課,據估計已有四、五百位的學員上過課程並通過考試,其中也包含了由國家資通安全會報所補助的公家機關人員。警察大學教授林宜隆表示,計畫於十月底召集過往的學員辦個聚會,彼此做經驗的交流分享。而政府補助課程中來上課的學員也多屬資訊部的高階主管。
目前國內中央標準檢驗局從今年開始開放CNS17800的申請稽核驗證,標檢局徐成龍技正表示,標檢局目前有20位的稽核員,且經過兩年的培訓,在學、經歷等資格皆符合國際要求,但因國內目前的案子缺乏,在實際的經驗上就顯不足。但相信明年A級等政府單位紛紛導入、申請認證,整個市場的量將會大增。徐成龍表示到時候還擔心會人手不足,要再陸續培訓。
相較於國外的驗證機構,標檢局非營利機構,因此價格是其優勢之一。目前申請認證的費用包含:申請費:1萬元,工作人/天費:1人/天8千元,證書費:2千元,登錄年費:一年1萬2。以一個300人以下的案子估算,若採6人1天,為4萬8千元,再加上其他的費用總合為7萬2。相較於國外機構動輒數十萬的費用,有段不小的差距。至於得到標檢局的證書是否能獲得國外的認可?徐成龍認為,這主要是看申請認證單位的客戶是否認同。若是標檢局的認證量增多、知名度打開,國外也會相對接受,就如同國內已發放多年的ISO9000及14000。國家資通安全會報並無特別規定政府機關需通過標檢局還是國外UKAS認可的機構發證,目前標檢局仍是以服務政府單位為主。