Seednet志在安全體質 拿BS7799認證是個美麗的插曲

Seednet 原本就注重資安環節
基於本身服務的重要性，以及層出不窮資安事件，Seednet很早就已成立網安部門，專職監督相關資訊安全，資安既然如此重要，決不可能只針對企業體某部分做資安，資訊總部資訊長莊仕誠表示：「在公司內部系統方面，考量到系統會持續記憶帳號、密碼的這項安全漏洞，Seednet已由公司內部程式人員設計一套系統，在不執行系統一段時間後就會自動關閉，等到要作業時必須再次登錄；其次對於密碼的規範，要求員工不准將密碼貼在電腦或其他看得到的地方，且嚴格規定密碼不能使用生日或身分證等容易取得的數字，必須使用特殊字元；另外，也必須定期更新微軟系統的漏洞、架設防毒軟體…。」

這類做法並不只是書面聲名，而是玩真的，因為Seednet會非常要求內部員工認真看待一切的安全規定，除了會定期追蹤系統漏洞的更新狀況，且公司內部會以每組5人抽1人的查驗方式做為網路使用的規範，當然在考量員工使用系統可能必須記上好幾組帳號、密碼，又得使用特殊字元的因素，這必定對員工造成困擾，所以Seednet內部會舉辦教導密碼命名方法的教育訓練，以減低員工們反彈。

而一般高階主管通常會將密碼交付祕書，或由祕書代為收信的做法，Seednet都視為資安的一大問題，因此會嚴格禁止高階主管做出這類的舉動，縱使高階主管出錯也會要求改善。 對於硬體層面，Seednet本身也採取許多安全措施，如為了保障機房電力不中斷，每個環節都有備援系統，且提供雙路由的供電設計；也為了保持機房20~22度的溫度，採用水冷、氣冷兩套空調系統互為備援，加上具有獨特的機架散熱設計，可迅速將機器產生的高熱排出，能維持機房設備穩定運作；此外，每個機架都會有兩副鑰匙，客戶進出也都需由公司專人陪同和打開機架設備，所以客戶委託管理的設備都有周全的保護；當然相關防火牆也是防護安全的重點。但莊仕誠強調：「大家都說自身的公司很重視安全，如果沒有一種具體的認證標準，那就沒有依循的準則，Seednet導入BS7799就是要保障客戶的權利，也讓客戶更明瞭Seednet注重資訊安全的立場。」又說：「由於Seednet自身就非常注重資安，因此將IDC機房導入BS7799的過程可說非常順利，取得BS7799認證也只是一個美麗的插曲(順便拿一個認證)。」

以身作則 導入安全認證機制
網路已成為企業發展的重要命脈，它不僅增加了企業的生產力，也帶動人們生活的樂趣，但網路也常遭受駭客、病毒入侵破壞，資訊安全危機也自此而生。但據資料顯示，國內上百萬家企業中僅有不到26家通過BS7799認證的標準，可看出通過BS7799認證實屬不易，也是對企業資安工作的肯定。事業開發部資深副總經理傅志忠指出，對身為ISP業者的Seednet而言，支援資安工作自有其責任，以身作則的導入BS7799認證機制，這不但保障了Seednet的服務品質，也強化內部人員資安的觀念，更帶給社會更安全的應用環境。

至於企業體發生資安問題，大多數都是「人為因素」造成的，不僅突顯資安管理不被重視，造成客戶對企業管理的不信任，無形間也將嚴重傷害到企業體的未來經營。所以Seednet導入BS7799認證不但IDC機房作業人員必須遵守安全條款，就連公司其他人員也要嚴加執行，傅志忠舉了一個實際的例子：「如果居家附近有一些化學工廠，對居民而言一定會產生許多疑慮，但假設這些化學工廠都取得相關ISO1400的環保認證，相信居民將更為安心…。」因此Seednet將IDC機房導入BS7799認證就是為了提高資安品質，而每半年就得再接受一次BS7799稽核、每三年要重新認證，這也是對資安服務的最佳安全證明。

內部充分溝通 是成功的核心
莊仕誠強調，導入BS7799認證的過程中，因為Seednet當時對於軟、硬體的規範早就有了，所以這些都不是最大難處，真正關鍵的問題在於Seednet內部擁有眾多設備、複雜的系統、作業流程等，如何整合內部意見，共同想出一個簡單的方法把眾多的安全作業程序統一，並與日常作業環環相扣，則是推動BS7799認證最主要的重點。

傅志忠也表示：「Seednet要的是實質且合乎需求的安全架構，要將安全程序與既有公司文化結合其實是很難的，所以花了許多時間在凝聚公司內部共識上，幸運的是，Seednet的IDC機房在導入BS7799認證的過程完全是水道渠成的。」又說：「現在凡事都強調自動化流程的優點，然而太過於自動化並不是最好的，某些層面的安全仍需以“人”來做安全把關，因此格外強調人員的訓練，所以在將IDC機房導入BS7799認證的過程中，Seednet前半年都將重點放在整合溝通與訓練人員方面，而後半年才正式開始進行證認的取得。」

由於導入BS7799前能事先將Seednet公司內部既有的問題加以整合討論，所以在IDC機房導入BS7799認證的過程中發現的缺失可說是少之又少，唯一要補齊的只有BSI所規範的文件格式而已。

但基於每家公司自身的體質與經營模式都不大相同，自然在推動BS7799認證的考量點也會有所不同，傅志忠建議：「對於有意導入BS7799認證的企業體而言，最重要的是，必須透過公司內部整體審慎評估，找出最適合的方式來導入BS7799認證。」如此必能有效、且節省成本的取得認證，也才有助於公司整體形象的提升，為公司帶來最大的利益空間。

推動認證必須循序漸進
既然導入BS7799認證如此重要，為何Seednet不將BS7799導入全公司? 傅志忠指出，這是階段性評估的因素，理由是資安工作原本就極為嚴謹，小至傳真機傳送資料或丟棄的文件資料，大到防止駭客與病毒入侵的抵禦系統都必須加以考量，更何況導入全公司的工程可說非常複雜，貿然執行將導致極高的失敗機率。 傅志忠重申：「由於Seednet內部系統太大、作業流程複雜、且客戶種類太多等因素，Seednet現階段只做IDC機房的BS7799認證，主要考量點就是這部分與客戶息息相關，目前會持續觀察IDC機房運作的情況，藉由1~2年的評估來累積相關問題，之後再將BS7799認證導入全公司。」Seednet不會以現階段導入IDC機房的BS7799認證就自滿，但也不會為了要取得認證而去認證。

後記
資訊安全的重要性人人都懂，許多公司也都說：「資訊安全人人有責，更明文規定資安的細項條文…。」雖然如此，繁瑣的安全規定卻常令人不知所措，而淪為一種表面的口頭形式，莊仕誠認為：「So What?...這就沒有任何意義可言，資安不能只是說說而已，必須確實執行相關安全工作。」因為真正「資訊安全」概念的要點除了最後結果需被重視，如何持續導向改善自身安全機制的過程也是十分重要的。