IBM e-Center通過BS7799 為高資安等級再加分

今日企業的威脅
台灣IBM公司資訊服務部經理定正偉談及，近年來由於internet的廣泛使用，資訊安全的議題日形重要，無論是國內或國外，熟悉網路者透過網路的方便性與技術切磋，讓駭客如虎添翼；駭客的入侵的容易度提高，障礙度降低，甚至是一個高中生或國中生都可能成為駭客。對企業或是政府機關而言，無論是駭客行為或是內部的員工蓄意竊取和迫害，企業面臨的威脅與日俱增。根據2003年CSI/FBI的調查統計，目前企業中發生最頻繁的資安事件是病毒的攻擊，而就單一的資訊安全事件造成的損失，最嚴重者是屬資訊的竊取，第二嚴重者則是財物詐欺。 近來台灣的病毒事件非常頻繁，無論是企業或政府部門的資訊遭竊取事件層出不窮。加上目前個人資料保護法已有規定，企業如未盡到完善保密消費者的個人資料，凡故意或無意將個人資料洩漏者，消費者有權利對企業要求索賠。


業要面臨的問題，不光只是企業本身的資料可能遭竊取，更面臨了對消費者的資料保護責任與可能觸犯法律的問題。因此，資訊安全的重要性對企業來說，是不可忽視的議題。

定正偉指出，根據IDC調查，資訊安全已經成為企業前三大最重要及優先的資訊科技投資，資訊安全解決方案也是亞太地區(日本除外)未來五年內，成長最快速的解決方案。而在Gartner全球企業報告中顯示，IBM是提供資訊安全產品與服務最廣的公司，服務內容包括顧問諮詢、系統整合及資訊安全管理服務三大領域。

10個月內拿下BS7799認證
IBM e-Center電子商業資訊服務中心，去年10月申請BS7799資訊安全管理系統標準認證，今年9月正式通過，成為業界取得認證最快的單位。IBM由於本身即是資訊安全顧問公司，加上IBM本身對安全管理規範的嚴謹度要求就相當高，因此，e-Center取得BS7799認證的準備過程，比起一般企業所遭遇到的困難相對降低。但是為什麼原本在安全管理就具高標準的IBM還要多一張BS7799的加持呢? 電子商業資訊服務中心經理劉建倫表示：「IBM在全球有超過20個center在做Disaster Recovery service，目前位於林口的e-Center是第一個也是唯一通過BS7799認證的單位，主要原因是在BS7799在還未成為國際安全管理認證標準時，自1994年以來IBM就一直在運作DR service，因此IBM的security policy在內部運作上已相當完整，各國分公司每年也會定期進行資訊安全的稽核，其執行標準相當嚴峻甚至高過BS7799，而這次申請並通過BS7799認證的主因是台灣的市場需求考量，BS7799是一個業界共同認可的標準，它讓IBM可以用與業界相同的標準語言，協助企業進行SOP(Standard Operation Process)資訊安全管理，同時更是為安全再升級。」

劉建倫強調，協助客戶通過BS7799，建立資安管理機制的過程，最重要的精神是PDCA (Plan、Do、Check and Act)四個字，它是一個circle，亦是資安的基礎架構。最重要的是，在建制的過程與拿到認證後，每年仍需持續不斷地驗證與改善，IBM同時建議，企業在選擇資訊安全合作廠商時，除審核其本身是否通過BS7799認證外，還必須關注其往後是否定期進行BS7799的持續驗證，以確保企業系統在遭受攻擊、或面臨災害威脅時，能獲得更完善服務。

「企業災害備援服務」通過認證
IBM e-Center通過BS7799的範圍是機房軟、硬體設施、資訊安全處理程序，及企業災害備援服務等(Providing clients with IT equipments, information, personnel, infrastructure and related facilities to recover IT operations for Business Continuity)；有別於同業的是企業災害備援服務的部分。定正偉表示，IBM強調的是實務性和實用性，因此針對e-Center而不是IBM來申請驗證、符合標準，而企業災害備援服務是e-Center的主要業務，所以，提出「企業災害備援服務」的申請，一來是為了符合客戶的需求，再則，除提供客戶場地機房外，還對客戶服務提供更安全的信賴感。

企業災害備援服務(BRCS，Business Resiliency & Continuity Services)業務包括：企業永續經營 (BCP，Business Continuity Planning) 、災難回復(DR，Disaster Recover)顧問服務等，提供企業用戶的第二個備援中心與資料遠端儲存，是服務的重點。

目前e-Center正在規劃security management service，未來將以資訊安全監控中心(SOC，Security Operation Center)為發展方向，進行企業資訊委外管理、顧問、稽核等服務，以同時具備安全、資料備援，及主機代管等多功能合一的遠端伺服器監控對企業客戶服務。

通過具體考驗更勝於認證拿取
定正偉表示，從許多輔導案例中也可看出，國內企業在資訊人才及科技應用上已相當純熟，然而在資安控管上，卻明顯缺乏統合標準及程序，以致容易發生人為疏失及資料外洩等問題，透過BS7799認證能幫助企業重新檢視資安問題。

定正偉強調，「通過認證的數據顯示，台灣數目比美國還來得多，這是一個值得思考的問題。因為就資訊安全來講，光是談認證仍是不夠的，我們要做的事是包含了比認證更深入的東西；資訊安全更強調的是，做的比說的更重要，通過具體的考驗更勝於認證的拿取。」

關於e-Center
IBM的e-Center在1999年之前是位於台北市八德路，之後隨著業務的成長，以及做異地備援地所需具備複雜條件等考量，於1999年遷移至林口現址，曾獲全球資訊安全評鑑的特優評比。此獨棟高標準資訊大樓的外觀就像個社區圖書館一樣低調，若非IBM的工作人員或是客戶，就算是附近鄰里也恐怕每天路經e-Center都不知道這棟大樓就是IBM做異地備援的資訊重地。

IBM當初選擇此獨棟建築物作為新的備援重地，有非常多的安全考量，包括此建築物的樓層成員、附近的產業結構、是否在斷層帶上、供水供油問題、地勢高度、交通(臨近機場與高速公路)、大樓的安規標準等。但除了建築物的本身條件之外，Center的「內容」是更重要的。