https://newera17031.activehosted.com/index.php?action=social&chash=ba1b3eba322eab5d895aa3023fe78b9c.2767&nosocial=1
https://newera17031.activehosted.com/index.php?action=social&chash=ba1b3eba322eab5d895aa3023fe78b9c.2767&nosocial=1

觀點

IBM e-Center通過BS7799 為高資安等級再加分

2004 / 12 / 30
卓長熹
IBM e-Center通過BS7799  為高資安等級再加分

今日企業的威脅
台灣IBM公司資訊服務部經理定正偉談及,近年來由於internet的廣泛使用,資訊安全的議題日形重要,無論是國內或國外,熟悉網路者透過網路的方便性與技術切磋,讓駭客如虎添翼;駭客的入侵的容易度提高,障礙度降低,甚至是一個高中生或國中生都可能成為駭客。對企業或是政府機關而言,無論是駭客行為或是內部的員工蓄意竊取和迫害,企業面臨的威脅與日俱增。根據2003年CSI/FBI的調查統計,目前企業中發生最頻繁的資安事件是病毒的攻擊,而就單一的資訊安全事件造成的損失,最嚴重者是屬資訊的竊取,第二嚴重者則是財物詐欺。 近來台灣的病毒事件非常頻繁,無論是企業或政府部門的資訊遭竊取事件層出不窮。加上目前個人資料保護法已有規定,企業如未盡到完善保密消費者的個人資料,凡故意或無意將個人資料洩漏者,消費者有權利對企業要求索賠。


業要面臨的問題,不光只是企業本身的資料可能遭竊取,更面臨了對消費者的資料保護責任與可能觸犯法律的問題。因此,資訊安全的重要性對企業來說,是不可忽視的議題。

定正偉指出,根據IDC調查,資訊安全已經成為企業前三大最重要及優先的資訊科技投資,資訊安全解決方案也是亞太地區(日本除外)未來五年內,成長最快速的解決方案。而在Gartner全球企業報告中顯示,IBM是提供資訊安全產品與服務最廣的公司,服務內容包括顧問諮詢、系統整合及資訊安全管理服務三大領域。

10個月內拿下BS7799認證
IBM e-Center電子商業資訊服務中心,去年10月申請BS7799資訊安全管理系統標準認證,今年9月正式通過,成為業界取得認證最快的單位。IBM由於本身即是資訊安全顧問公司,加上IBM本身對安全管理規範的嚴謹度要求就相當高,因此,e-Center取得BS7799認證的準備過程,比起一般企業所遭遇到的困難相對降低。但是為什麼原本在安全管理就具高標準的IBM還要多一張BS7799的加持呢? 電子商業資訊服務中心經理劉建倫表示:「IBM在全球有超過20個center在做Disaster Recovery service,目前位於林口的e-Center是第一個也是唯一通過BS7799認證的單位,主要原因是在BS7799在還未成為國際安全管理認證標準時,自1994年以來IBM就一直在運作DR service,因此IBM的security policy在內部運作上已相當完整,各國分公司每年也會定期進行資訊安全的稽核,其執行標準相當嚴峻甚至高過BS7799,而這次申請並通過BS7799認證的主因是台灣的市場需求考量,BS7799是一個業界共同認可的標準,它讓IBM可以用與業界相同的標準語言,協助企業進行SOP(Standard Operation Process)資訊安全管理,同時更是為安全再升級。」

劉建倫強調,協助客戶通過BS7799,建立資安管理機制的過程,最重要的精神是PDCA (Plan、Do、Check and Act)四個字,它是一個circle,亦是資安的基礎架構。最重要的是,在建制的過程與拿到認證後,每年仍需持續不斷地驗證與改善,IBM同時建議,企業在選擇資訊安全合作廠商時,除審核其本身是否通過BS7799認證外,還必須關注其往後是否定期進行BS7799的持續驗證,以確保企業系統在遭受攻擊、或面臨災害威脅時,能獲得更完善服務。

「企業災害備援服務」通過認證
IBM e-Center通過BS7799的範圍是機房軟、硬體設施、資訊安全處理程序,及企業災害備援服務等(Providing clients with IT equipments, information, personnel, infrastructure and related facilities to recover IT operations for Business Continuity);有別於同業的是企業災害備援服務的部分。定正偉表示,IBM強調的是實務性和實用性,因此針對e-Center而不是IBM來申請驗證、符合標準,而企業災害備援服務是e-Center的主要業務,所以,提出「企業災害備援服務」的申請,一來是為了符合客戶的需求,再則,除提供客戶場地機房外,還對客戶服務提供更安全的信賴感。

企業災害備援服務(BRCS,Business Resiliency & Continuity Services)業務包括:企業永續經營 (BCP,Business Continuity Planning) 、災難回復(DR,Disaster Recover)顧問服務等,提供企業用戶的第二個備援中心與資料遠端儲存,是服務的重點。

目前e-Center正在規劃security management service,未來將以資訊安全監控中心(SOC,Security Operation Center)為發展方向,進行企業資訊委外管理、顧問、稽核等服務,以同時具備安全、資料備援,及主機代管等多功能合一的遠端伺服器監控對企業客戶服務。

通過具體考驗更勝於認證拿取
定正偉表示,從許多輔導案例中也可看出,國內企業在資訊人才及科技應用上已相當純熟,然而在資安控管上,卻明顯缺乏統合標準及程序,以致容易發生人為疏失及資料外洩等問題,透過BS7799認證能幫助企業重新檢視資安問題。

定正偉強調,「通過認證的數據顯示,台灣數目比美國還來得多,這是一個值得思考的問題。因為就資訊安全來講,光是談認證仍是不夠的,我們要做的事是包含了比認證更深入的東西;資訊安全更強調的是,做的比說的更重要,通過具體的考驗更勝於認證的拿取。」

關於e-Center
IBM的e-Center在1999年之前是位於台北市八德路,之後隨著業務的成長,以及做異地備援地所需具備複雜條件等考量,於1999年遷移至林口現址,曾獲全球資訊安全評鑑的特優評比。此獨棟高標準資訊大樓的外觀就像個社區圖書館一樣低調,若非IBM的工作人員或是客戶,就算是附近鄰里也恐怕每天路經e-Center都不知道這棟大樓就是IBM做異地備援的資訊重地。

IBM當初選擇此獨棟建築物作為新的備援重地,有非常多的安全考量,包括此建築物的樓層成員、附近的產業結構、是否在斷層帶上、供水供油問題、地勢高度、交通(臨近機場與高速公路)、大樓的安規標準等。但除了建築物的本身條件之外,Center的「內容」是更重要的。