https://www.informationsecurity.com.tw/seminar/2025_Digicentre/
https://secutech.tw.messefrankfurt.com/taipei/zh-tw/programme-events/AIoT_SecurityForum.html

觀點

再談BS 7799

2004 / 08 / 31
侍家驊
再談BS 7799

今年國內如果票選最熱門資安服務,我看非BS7799莫屬。一個鼻屎般大小的國家,竟然已31個單位及公司通過BS7799認證,年底前會增至45家,在全球約排前五名,目前國內通過BS7799 LA課程證書認證人數約950人,成績可謂輝煌,凡此種種都拜『資通會報』對政府單位的規範與要求。

硬性要求的結果出現三種結果:上上者,提供有心推動資安管理系統的單位,一個有利的執行依據;次焉者則屬倒吃甘蔗,初期係被動配合,但越做越覺得好處多多,越做越有心得;下焉者則屬傳統公家機關的方式,上有政策、下有對策,找個容易做的範圍交給顧問做好文件,拿個認證算是交差。

相信時至今日,仍有不少人認為拿到認證就安全了,從此可以高枕無憂。從幾位資深資安顧問竊得一個很好的描述:『拿到認證表示有一個可資信賴的系統,會讓資安工作持續地進步,讓組織越來越安全』。年初採訪工研院時,工研院鄭富元組長的介紹更是點出精髓『導入BS7799是一種文化的變革』。所以每當聽到一些公司或單位計畫將BS7799從資訊部門擴大到其他單位,甚至整個公司,就會讓人敬佩那股強烈企圖心,這種單位或公司不讓人信任的話,還能信任誰呢? 另外也發現一些非常正面的案例,他們仔細研究BS7799,做為架構自己資安管理系統的依據,同時也作為自我檢視的依據,只是不計畫取得認證。這種公司一樣讓我有鼓掌的衝動,首先是他們充分了解這個標準的好處,再來也表示他們重視管理系統的建立,最後更精彩的是,其中有些公司仍然定時請資安顧問稽核,以作為缺點改進的依據。

這股風潮之下有一種聲音越來越響~『錢都給外國人賺走!』。
台灣被外國人賺走的錢,多如恆河砂:飛機、潛艇、核電、高鐵、捷運…,重點在於,我們引進國外來的技術、觀念、設備,是不是我們要的?是不是留下相關導入經驗及技術?能不能反過來運用創造出屬於我們自己的附加價值?前一回採訪NII吳國維執行長,得知NII計畫依BS7799的精神,研擬適合國內中小企業運用的資安管理標準與控制方法,預計年底推出,不錯吧?

這股風潮更為明日的資安人才創造極為正面的誘因,淡江大學黃明達老師所帶領的研究生,個個積極取得BS7799 lead auditor證照,因而身價馬上墊高,甚至有公司已經著手挖人。我們憂心資安人力不足的問題?歸回到市場機制的鼓動。

耳聞政府單位將進一步將BS7799推到更多的單位,令人一則喜、一則憂。喜的是更多單位將感受建立資安管理系統的好處;憂的是,目前夠經驗的資安顧問不足。相對於這項規定,在全國的資安服務能量嚴重不足狀況下,屆時八仙渡海各憑本事,恐未蒙其利先受其害,最後ISO17799 (BS7799)真的淪落到ISO認證一樣,只要給錢包過?