BS7799加溫 LA人員漸增

文 / 邱詩琁

有關BS7799


被公認是目前最完整的資訊安全管理系統標準BS7799，包含有PART1和PART2兩部份，PART1為系統建置的指導綱要，PART2則是資訊安全管理系統的認證需求及公正稽核的依據。由英國標準協會(BSI)所制定的BS7799並已獲國際標準組織(ISO)引用並頒佈為國際標準ISO/IEC17799，經濟部標準檢驗局並已於去年將其中文化，頒佈為國家標準CNS17799/17800。


BS7799包含了10個管理要項、36個管理目標、127個控制方法，可供不同企業依據自身產業的特性、需求，選擇合適的控制方法，將風險降低至可接受的程度。而十個管理要項中包含了：資訊安全政策、組織的安全、資產分類管理、人員安全、實體及環境的安全、通信與操作原理、存取控制、系統開發與維護、業務持續性管理及相關規範之符合。


組織要通過BS7799之驗證，需通過認證單位之稽核，負責稽核的人員最基本的就是需取得BS7799 Lead Auditor主導稽核員之證照。目前國內除了BSI在台灣的分公司有開BS7799 Lead Auditor的訓練課程，包括BSI、IBM、KPMG、鈺松國際、恆逸資訊等皆有開設BS7799 Lead Auditor課程，若要瞭解BS7799，除了有書面教材外，也有廠商推出光碟版本。

ISO／IEC 17799 and BS7799

BS 7799 ISMS資訊安全管理系統分為BS 7799 part 1 & part 2兩部分，其中：BS7799 part 1 (Code of practice for information security management資訊安全管理作業要點)主要是作為參考文件，提供廣泛性的安全控制措施，作為現行資訊安全之最佳作業方法，其中包含10個控制措施章節，但不作為評鑑與驗證標準。       BS 7799 part 2：2002 (Specification for Information Security Management Systems資訊安全管理系統要求) 係根據BS 7799-1：2000，提供資訊安全管理系統(ISMS)之建立實施與書面化之具體要求，依據個別組織的需求，規定要實施之安全控制措施的要求。

BS7799 Lead Auditor課程內容、考試方法
最近通過BS7799 Lead Auditor考試的異術科技專業工程師羅志宏表示，五個整天的課程上下來，實在蠻累的。目前坊間的課程規畫多為五個整天，最後一天下午則考試驗收成果，若未能通過，還有補考的機會。課程的內容規畫除了老師講課外，分組討論、報告也佔頗大比重，為的是讓學員能把課本上的管理目標、控制方法活用在自己公司的實際狀況中。


因此在測驗部份，除了選擇題、簡答題、詳答題外，還有情境題，比方說描繪一辦公室內員工的種種行為，讓應試者去判斷哪些行為違反了資安的規定等。羅志宏提到，考試時可以翻書，不過若是對課本內容不夠熟悉，翻書速度不夠快，可能就無法在時間內完成所有考題。


而目前市場上五天的課程收費多為五萬元左右，價格並不便宜。不過該認證的特殊處在於學的是資安的管理規範，瞭解了BS7799後，除了可協助在企業內部推動外；對於從事資安的廠商而言，越來越強調提供資安服務而非單賣產品，服務團隊領有多少資安相關證照可加深客戶的信賴，有極大的加分作用。羅志宏表示，上過課後對資安有更全面的瞭解，也有了不同的思維角度，在協助客戶導入專案時，還能協助客戶從政策、管理面做更通盤的考量，提供更多的附加價值。因此有些公司會提供補助讓員工上課，取得證照對個人、公司都是利多。


而目前市場上的相關課程以往皆遵循UKAS的要求，最少上課時數為36小時、教師隨堂最少上課時數為28小時。不過IRCA在最新公佈的ISMS主導稽核員訊練課程規範中，則要求最少上課時數及教師隨堂最少上課時數皆為40小時。為了讓取得證照的學員未來得以和國際接軌，鈺松國際在今天7月開設的課程已調整為符合IRCA的40小時要求。

相關開課單位：

?BSI： http://www.bsitw.com.tw ?IBM： http://www-901.ibm.com/tw/Shop/education/course_ISMSLA.html ?KPMG： http://www.kpmgsecurity.com.tw/training.asp# ?中華資訊安全管理協會：http://www.iss.com.tw/education/course.php?id=ISMS-510 ?恆逸資訊： http://edu.uuu.com.tw/certify/all-BSi.htm

另一選擇：踏上稽核員之路
至於取得BS7799 Lead Auditor證照後，若有意從事BS7799外部稽核的工作，還需具備哪些條件？BSI台灣分公司大中國地區訓練經理蒲樹盛表示，每家驗證公司對公司內稽核員要求不一，以BSI為例，除了最基本需取得BS7799 Lead Auditor證照外，經驗是最為重要的，因此BSI要求新進稽核員需跟隨主導稽核員累積達20天共480小時的實際稽核經驗，才能成為正式的稽核員。


蒲樹盛同時指出，目前國內取得BS7799認證通過的8家公司中，有7家是由BSI驗證發照，目前市場的需求量還不大，以平均一家公司需三、四個驗證天數來推算，需要有好幾個案子才能累積達到20天的經驗，因此目前BSI台灣分公司也僅有他一人為符合要求的稽核員。


不過隨著BS7799市場的逐步推廣，再加上國家資通安全會報要求A級單位需在明年底率先通過BS7799認證。相信BS7799的市場將會逐漸增大，藉時包括對提供驗證的公司、稽核員、相關課程及課程講師的需求都將擴大。目前市場內已開始擔憂可能會發生證照濫發、課程浮濫的狀況，蒲樹盛認為，這其實也取決於受驗證單位取得證照的目的，若有心做好資安，自然會尋找有公信力、有實力的單位，他強調取得BS7799證照只是個結果，重點是導入的過程，讓組織真正能落實資安管理，降低風險，才是最大的收獲。


蒲樹盛並指出，稽核員只是在最後階段負責驗收成果，最重要的是導入過程中顧問的協助，因此找到有經驗、專業的顧問來協助企業導入ISMS更為重要。而國內首家全公司導入並獲得證照的宏瞻公司，導入過程並未委請顧問公司協助，而是由負責推動的人員上過BS7799的相關課程，再自行研究、自行導入，若有問題時還能詢問講師、請求協助。羅志宏也表示，上課的收獲除了對BS7799的瞭解和取得證照外，由於講師來自BSI，可以分享實務經驗，課堂上還有來自不同單位的學員互相切蹉，是上課的另一大收獲。

另一資訊安全人員證照CISSP獲美國CertCities.com Magazine調查選為最佳投資報酬率(ROI)證照，在全球十大熱門電腦認證中，由2002年的第10名上升到2003年的第5名，並已納入工業局補助計劃中，凡符合資格者補助後價格可減半。

慎選驗證機構、稽核員　抵制市場流於品質低落 低價搶案
需要特別留意的是，若有心導入ISMS，通過認證領取BS7799證書，必需慎選驗證公司。除了公司需獲驗證機構稽核通過外，各家驗證機構上面還有一認可機構，如英國的UKAS，是獲國際公認的認可服務公司，必須是由UKAS認可的機構所發的BS7799證書才獲國際認同。若發證機構未經認可程序，表示其上並無監督單位檢視，所發的證書自然不具效力，而變成了只是獲此驗證機構認可的證書了，發展較久的ISO品質控管就有此現象發生。


BS7799由於在台起步未久，但隨著知名度漸開，恐有不肖廠商看有利可圖也來分一杯羹，打壞市場行情和品質，若想瞭解哪些驗證機構已獲UKAS認可，可上網查詢：http://www.ukas.com/new_docs/CB-directory.htm。該名單每月會做更新。其中，QMS代表：品質管理系統(ISO9000)、EMS：代表環境管理系統(ISO14001)、ISMS便是資訊安全管理系統 (ISO17799/BS7799)。另外，中華民國認證委員會http://www.moea.gov.tw/~cnab/ (CNAB)亦計畫針對國內的BS7799驗證機構進行認可，可能延用國外的認可標準和程序。


針對驗證機構的稽核員，UKAS也有規範，包括學歷、經歷和稽核經驗。其中最重要的稽核經驗規定需有20天以上之經驗。不過要特別區分的是，上過BS7799 Lead Auditor課程並通過考試，和成為獲國際認可合格的稽核員是兩回事，上過課通過考試只是最基本的要求。因此除了慎選廠商，該稽核員是否合格也需留意。在UKAS的要求中，也規範了學經歷的技術代碼，稽核員若是未具備受稽核單位行業別、領域的知識背景，難以去稽核；且要累積滿20天的實際稽核經驗，若以台灣目前通過案子的數量計算，實屬不易。因此若有廠商表示旗下有多位合格稽核員，需特別留意。


稽核員養成訓練之一的BS7799 Lead Auditor課程，同樣也受到規範，包括課程內容、上課時數、講師人數、講師資格等。目前國際公認的IRCA認可機構(http://www.irca.org/home.html )對此有訂定標準。IRCA亦是一獲全球公認的認可機構，主要是針對稽核員及訓練課程做驗證，針對開設課程的組織同樣有規範要求。因此獲得IRCA認可的稽核員及課程便具有國際承認的資格。


由中國民國電腦稽核協會與Bsi台灣分公司所共同舉辦的BS7799 Lead Auditor課程至目前為止已開了20多堂課，據估計已有四、五百位的學員上過課程並通過考試，其中也包含了由國家資通安全會報所補助的公家機關人員。警察大學教授林宜隆表示，計畫於十月底召集過往的學員辦個聚會，彼此做經驗的交流分享。而政府補助課程中來上課的學員也多屬資訊部的高階主管。


目前國內中央標準檢驗局從今年開始開放CNS17800的申請稽核驗證，標檢局徐成龍技正表示，標檢局目前有20位的稽核員，且經過兩年的培訓，在學、經歷等資格皆符合國際要求，但因國內目前的案子缺乏，在實際的經驗上就顯不足。但相信明年A級等政府單位紛紛導入、申請認證，整個市場的量將會大增。徐成龍表示到時候還擔心會人手不足，要再陸續培訓。


相較於國外的驗證機構，標檢局非營利機構，因此價格是其優勢之一。目前申請認證的費用包含：申請費：1萬元，工作人/天費：1人/天8千元，證書費：2千元，登錄年費：一年1萬2。以一個300人以下的案子估算，若採6人1天，為4萬8千元，再加上其他的費用總合為7萬2。相較於國外機構動輒數十萬的費用，有段不小的差距。至於得到標檢局的證書是否能獲得國外的認可？徐成龍認為，這主要是看申請認證單位的客戶是否認同。若是標檢局的認證量增多、知名度打開，國外也會相對接受，就如同國內已發放多年的ISO9000及14000。國家資通安全會報並無特別規定政府機關需通過標檢局還是國外UKAS認可的機構發證，目前標檢局仍是以服務政府單位為主。