始料未及鈺松SOC 導入BS7799效益多

導入效益發酵
導入BS7799並通過認證，對許多企業單位來說，並非僅意味著是推動資訊安全成果，更重要的意義是其後續帶來的效益。由於每半年需由第三單位重新做外部稽核，證照的效期為三年，因此導入通過BS7799其實象徵的是推動資訊安全的開始，鈺松也不例外。

＊開啟新的服務商機

朱松齡提到有些效益都是無心插柳的成果。鈺松經過這次自行導入的經驗，再加上原本就是代理、研發資安產品的廠商，且也開設有BS7799相關課程，因此公司又增加了另一項BS7799顧問服務的業務，將累積的經驗轉為輔導其他客戶，開啟了另一塊商機。

＊降低機密資料外洩疑慮

同時，因為這次的導入，鈺松整合了原有的管理程序及文件，將資訊資產做了明確的分級分類，機密文件不會再和一般文件混在一起，資料外洩的疑慮也因而降低。朱松齡便提到，此次應採訪要求所提供的資料，便是經過分類、篩檢的。

＊釐清人員角色權責

並且將資訊安全管理角色與責任，做了明確的定義。緊急事件發生時，該通知誰，每個人的責任為何，都有了遵從依據，且做過演習演練，真正遇到事情時，不會再手忙腳亂。因此，資安重大事件的處理程序皆已化為文件、記錄，不僅確保了資訊安全管理系統得以落實，並提供持續改善的依據。「每個事件發生時，都有處理的制度和方法，不好的話，再做修正。」

針對人員的教育訓練也因此建立了一套方法。朱松齡提到，當初並沒有嚴格要求每個人要具備哪些能力，因此無法知道人員哪些地方不足。「以前忽略的，現在都有了規範。」目前鈺松將SOC機房的人力分為L1~L3三個等級，唯一能進入機房的便是L1人員，也就是每日負責輪班監控的人員。要成為L1人員，需經過教育訓練、考試，並通過三個月後的考核，才得以成為正式聘雇人員，踏入機房禁地。這期間鈺松還會將人員資料送至警察局，做基本的人資調查。當然人員都會簽署保密條款，機房內並裝設有監控設備，朱松齡強調，其用意並非只是監控員工，換個角度想，若發生任何事情，監控設備的記錄反而可證明員工清白與否，是另一層的保障。

＊建立重大事件處理程序

鈺松在入侵事件的追蹤處置流程中，已經明確定義L1、L2、L3人員的職責劃分，L1人員視即時監控的需求，主動與L2人員瞭解事件的後續處理狀況；L2人員得視追蹤狀況，要求L1人員更密切地注意或做事件過濾等配合動作。技術層級更高的L3客戶技術人員，除了做後勤的技術支援外，在一些委外合約中，也指名有時重大事件發生時，需至客戶端協助處理。

事件通報方面，鈺松擬有一個「通報事件分級及通報原則」的準則，將通報分成四個等級，SOC人員依各級通報的判斷準則來決定該發哪一級的通報。其中定義了通報層級、定義、客戶處置方式、通報方式、通報對象。並且整合了「國家資通安全應變中心」的通報原則。例如屬於較嚴重等級的第三、第四級事件，可對應至政府的A至D級。

有趣的是，因為這次的導入機會，小組成員才更為仔細地研究公司的樓面圖，意外發現了幾處較為隱密的緊急供電系統，這大概也是當初所始料未及的。設在鈺松公司內的SOC，位在新店一棟新建僅數年的鋼骨結構大樓內，除了防颱、防震設計外，並擁有大樓本身獨立的供電系統。初次到訪這棟大樓的人，大概會對需先指定樓層再個別派遣電梯的設計，印象深刻。

＊將經驗向其他單位推廣

另一個無心插柳的效益應該是，雖然驗證範圍定在SOC機房，但累積下來的安全意識、推動經驗自然而然地就會往公司的其他單位擴散。朱松齡表示，鈺松目前並無計畫接著要以全公司為範圍導入，但會循序漸進地去強化公司其他部份的安全。「我們先把把最重要的一塊做好，有時間時再做別塊。」他對政府等其他單位也是如此建議。一來，導入BS7799需投入的人力、時間、資源等皆龐大，若從最重要的部份做起，除了相對地減少開支外，累積下來的經驗、文件範本，都能更輕易地推動到其他單位。「這時候，你經驗也夠了，宣導也做足了，可以不需請顧問，自己來做。」朱松齡並強調，制度是一個個放進去的，組織應視自身的狀況、能力，而非為了取得證照就「急就章」似地導入。

經驗分享
＊SOC機房的資料保護

緊急應變、系統管理制度建立好，最重要的SOC機房內的客戶資料如何保護？朱松齡表示，機房的網路和公司內部網路分開，客戶資料只會到機房，因此接觸的人員也僅有監控代管人員而已。光碟等資料會鎖在機房內的保險櫃中，儲存在機器內的資料皆會加密，若需讀取，除了需經過解密外，還需透過特定的Token才得以取出。另外，和客戶間的傳輸資料皆會經過加密。目前，SOC機房對外有兩條線路互相做備援，並且正計畫資料除了做異地備份外，未來將做到異地備援。

＊導入成功的最重要關鍵

朱松齡談到，導入成功的最重要關鍵還是在於︰管理階層需全程參與並支持，才能凝聚員工的共識。且一開始訂定的驗證範圍要合理，可以先與驗證公司取得共識。「範圍太大幾乎是不可能的任務，後續要投入的時間成本都要先考慮到。」由於今年年底是政府A級單位通過BS7799驗證的期限，預計今年台灣通過BS7799的單位將大增，但目前在國內提供符合國際標準的驗證機構和人員並不多，他指出，可能年底排驗，都未必能排到時間。

＊建置工作的必備項目

1. 執行風險評鑑作業：建置工作的必備項目，首要為執行風險評鑑作業，包含先針對現況做診斷及進行規劃、鑑別資訊資產的等級，並做威脅與衝擊的分析。而目前坊間的一些風險評鑑工具，可以協助減低人員判斷的負擔，並提供較統一的準則。

2.建立資訊安全管理制度及文件體系：緊接著工作小組要依據BS7799內的10個domain，建立資訊安全管理體系及文件體系，10個domain中包括了：資訊安全政策、資訊安全組織、人員安全管理、資安分類與控管、實體及環境安全管理、系統開發與維護、永續運作管理等，政策、技術兼而有之。

3.內部稽核作業規劃及輔導：制度落實與否及成效的檢驗，有賴一套完整的內部稽核作業規劃，因此，發展稽核計畫、做稽核訓練、做演練執行，及持續的檢討及改善措施，是不斷提升安全強度的方法。

4.教育訓練課程：「人性是最大的困難。」針對政策推動、導入，最麻煩的是人員教育問題，朱松齡強調，宣導通常需花費較長的時間，針對管理階層、技術人員、非技術人員，便需安排不同的課程，包括基本通識課程、ISMS課程、資安技術課程及危機應變課程等。

＊驗證是為了讓安全更強化

鈺松在去年年底進行評估作業，月中先執行第一階段的文件審查作業；12月31日當天，則由標檢局及SGS公司實施聯合驗證，進行第二階段的實地審查作業。由於兩家公司一同驗證，朱松齡提到，標檢局來了3位稽核員，SGS公司來了2位稽核員及2位觀察員，為什麼由兩家公司共同驗證？他提到，其實不同驗證單位各有其專長，有的較重視流程，有的較重文件，因此兩家單位共同驗證，等於多了幾雙眼睛一起檢視，有助於幫助鈺松找到更多需改進之處。

「驗證公司不是來找麻煩的，他們是來協助你，讓你的系統做得更完整、更臻於完善。」朱松齡提到了一個面對驗證的好態度，他認為，驗證公司並非專門來挑毛病，因此受驗單位抱持的心態，並非是害怕、排拒，反而應當是感謝。「經過他們一提，我們很感激，讓我們的安全更強化。」那次受驗，鈺松雖有幾項次要缺失，但在期限內改善後便順利拿到證書。要通過BS7799認證，過程中不能有主要缺失，亦不允許多項次要缺失，但在可允許範圍內的次要缺失，只要於規定時限內完成矯正計畫備查，便不影響證書的取得。另外，若正式評審未能通過，依規定需於90天內再次提出申請，改善主要及次要缺失項目，才能通過認證。 回顧一些導入BS7799的案例，其實就如同鈺松此次的經驗，也許導入的目的、動機單純，但導入後所衍生的卻是連串的效益。證書只是個表面的象徵，但開啟了員工對於資訊安全的認知(awareness)，建立了一套可供遵循的資安政策、一套可持續檢討改進的資安制度、應變流程，降低了安全的威脅、風險，這恐怕才是導入BS7799的真諦。

鈺松同時通過BS7799-2、CNS17800認證

目前政府許多標案當中，SOC機房需通過BS7799認證已經成了規格之一。鈺松身為國內少數投入建置SOC機房並提供代管服務的廠商，自然不能落於人後，從91年12月成立資訊安全管理系統推動小組，以SOC機房為ISMS驗證範圍，歷經一年的籌備、導入，到92年底通過認證。