再談BS 7799

今年國內如果票選最熱門資安服務，我看非BS7799莫屬。一個鼻屎般大小的國家，竟然已31個單位及公司通過BS7799認證，年底前會增至45家，在全球約排前五名，目前國內通過BS7799 LA課程證書認證人數約950人，成績可謂輝煌，凡此種種都拜『資通會報』對政府單位的規範與要求。

硬性要求的結果出現三種結果：上上者，提供有心推動資安管理系統的單位，一個有利的執行依據；次焉者則屬倒吃甘蔗，初期係被動配合，但越做越覺得好處多多，越做越有心得；下焉者則屬傳統公家機關的方式，上有政策、下有對策，找個容易做的範圍交給顧問做好文件，拿個認證算是交差。

相信時至今日，仍有不少人認為拿到認證就安全了，從此可以高枕無憂。從幾位資深資安顧問竊得一個很好的描述：『拿到認證表示有一個可資信賴的系統，會讓資安工作持續地進步，讓組織越來越安全』。年初採訪工研院時，工研院鄭富元組長的介紹更是點出精髓『導入BS7799是一種文化的變革』。所以每當聽到一些公司或單位計畫將BS7799從資訊部門擴大到其他單位，甚至整個公司，就會讓人敬佩那股強烈企圖心，這種單位或公司不讓人信任的話，還能信任誰呢？ 另外也發現一些非常正面的案例，他們仔細研究BS7799，做為架構自己資安管理系統的依據，同時也作為自我檢視的依據，只是不計畫取得認證。這種公司一樣讓我有鼓掌的衝動，首先是他們充分了解這個標準的好處，再來也表示他們重視管理系統的建立，最後更精彩的是，其中有些公司仍然定時請資安顧問稽核，以作為缺點改進的依據。

這股風潮之下有一種聲音越來越響~『錢都給外國人賺走！』。
台灣被外國人賺走的錢，多如恆河砂：飛機、潛艇、核電、高鐵、捷運…，重點在於，我們引進國外來的技術、觀念、設備，是不是我們要的？是不是留下相關導入經驗及技術？能不能反過來運用創造出屬於我們自己的附加價值？前一回採訪NII吳國維執行長，得知NII計畫依BS7799的精神，研擬適合國內中小企業運用的資安管理標準與控制方法，預計年底推出，不錯吧？

這股風潮更為明日的資安人才創造極為正面的誘因，淡江大學黃明達老師所帶領的研究生，個個積極取得BS7799 lead auditor證照，因而身價馬上墊高，甚至有公司已經著手挖人。我們憂心資安人力不足的問題?歸回到市場機制的鼓動。

耳聞政府單位將進一步將BS7799推到更多的單位，令人一則喜、一則憂。喜的是更多單位將感受建立資安管理系統的好處；憂的是，目前夠經驗的資安顧問不足。相對於這項規定，在全國的資安服務能量嚴重不足狀況下，屆時八仙渡海各憑本事，恐未蒙其利先受其害，最後ISO17799 (BS7799)真的淪落到ISO認證一樣，只要給錢包過？