觀點

2005年BS7799市場將爆炸 是商機?還是危機?

2005 / 01 / 31
陳佳溶
2005年BS7799市場將爆炸 是商機?還是危機?

金融機構體認到資訊安全事在必行
以過去金融業所面臨的資安事件如:信用卡盜刷、金融卡盜領、個人資料不斷外洩等,其嚴重影響消費者對金融業資訊安全管理的信任度,因此,金融產業也認為資訊安全管理系統事在必行,但導入情形卻不如想像來得簡單。

安永管理顧問公司副總徐敏玲表示,金融業目前希望藉由落實巴賽爾(Basel Π)對金融機構作業風險的管理,能一併改進資安相關的問題。但整合風險管理機制與架構並未完全導入符合巴賽爾(Basel Π)作業風險管理的要求,需要一段時間,而解決金融業目前所面對的資安困擾是迫不及待的,所以金融機構必須有良好的規劃,以及平衡這短期與長期間之差異。

勤業眾信副總萬幼筠表示,在導入BS7799驗證專案時,目前遇到的問題,不僅是資安問題,其延伸的問題是金融業間的合併,即銀行和銀行間的合併。此外,目前國內銀行購併的考量重點與國外稍有差別,就國內做法而言,乃依據銀行的素質好不好,及是否有前瞻性的規劃,但國外做法方面,卻考量到管理層面,其IT本身的素質會影響到成本價格。就舉資訊系統整併為例,只有一家銀行破紀錄的沒有經過測試,就將對方銀行的系統直接切換進自己的系統,為目前國內合併的典範。其他的銀行或多或少,均在系統整併過程中碰到一些難題,總而言之,這兩、三年之內,這些金控銀行即將合併成一家,等待這併購完成後,ISMS才會逐步落實。

銀行間的合併和收購將與資安密切相關,會涉及到帳戶、會計、產品、服務部份都須由IT整合銜接,例如2004年4月初,日本最大的金控公司瑞穗金控(Mizuho Holdings)資訊系統整合上線的第一天,結果無法提款轉帳、重複扣款等問題接連發生,最後停用三個月,再重新整合系統,導致17億日圓(約為4.7億新台幣)的龐大損失,萬幼筠認為這原則上是某個安全問題,但這不是ISMS(Information Security Management System)可解決,但ISMS可有效協助動員所有資源,透過這個安全管理系統可以知道人員如何的進出及佈建。

就國內銀行導入BS7799認證的情形而言,萬幼筠表示,大部份銀行仍只看自己的系統結構,沒有注意到與其它單位銜接的可能性。

政府對BS7799認證需求急迫
資通會報預計在94~97年前,政府部會即將編列預算必通過BS7799 認證,軍方單位不在此限,另外,級第須自我檢查,則自我檢查須繳報告,因此,大部份單位將委外給顧問公司處理,但等級的核定,仍待定義,且行政院正在變遷改組,目前院會將設立一個資訊長,負責重大政策決定,則關係到資訊作業的一致化,另外,不再讓資訊長兼任資安長,否則就變成資訊部門在做資安管理。就目前狀況來看,2005年政府對BS7799認證需求急迫,但如以價格競標,即造成認證品質的危機。

未來BS7799認證將從國家的體制著手,由主計處去執行稽核,政府單位也憂心將此事委外,委任單位是否可能掌控其品質,其次是時間太短,預算有限,另外,就是不夠深入的問題,萬幼筠表示,曾與政府、學術單位相關人單討論過BS7799稽核不該只停留在管理層面,應深入技術層面,因此,測試了一、兩個單位做技術稽核之後,發現並不是所有單位都了解怎麼執行,其次,就是因沒有績效指標,因此,無法徹底被落實。

萬幼筠憂心地說:「但我關心的是ISMS結構,欠缺部會內部自我檢視和推動的能力,目前已知要朝這個方向執行,但卻不知如何具體的落實,其存在的問題仍然是欠缺人力、資金,因此,解決的方式似乎也只有委外一途,但民間又有哪一個單位可以承受這巨大的風險,保證整個國家資訊安全稽核水準呢?」

精誠資訊安全顧問暨效能業務處江嘉帆認為,政府單位最大的問題是預算和人員的不足,即使想建構安全的資訊安全環境,在有限的預算下採購,但採購後的資安產品礙於人員專業能力不足,也難以去維持資安的環境,因此,為了解決其問題,大部份採用將資安委外的方式;此外,政府單位委外的方式,大多採用標案的方式,標案大多會將服務的品質打折扣,這是政府單位在選擇顧問公司時應特別謹慎的。

政府單位導入BS7799,將使國家整體的資訊安全管理觀念提升,也將引領民間企業意識到資訊安全管理之重要性,但面臨的最大問題就是預算有限,即可能導致驗證品質的危機。

科技業意識到研發技術的資安管理之重要性
對於科技產業而言,最重要即是新技術的研發,其為公司的重要資產,應給予高度的保護,就目前狀況來看,在高科技產業中屬於國際規模的企業,資安意識較強烈,且做得也比較健全;然而屬於較小規模的科技公司對資安之認知,大多還是在防火牆、IDS、IPS或者是防毒軟體方面,而忽略資訊安全管理所涵蓋的範圍,是以整個企業之資訊安全管理為範圍,而不只是與IT有關的部份。

萬幼筠表示,目前國內科技業為了有效保護研發成果,開始接受BS7799,因而投入大量的資金在這方面。以往研發技術像垃圾一樣,輕易被丟棄或傳遞,科技公司也正視到這是他們經營的命脈,例如國內某高科技公司,特別指派財務長來執行導入BS7799,也因為財務長親自參與,對必要的人力、資源的調度展現超高效率,相信整個導入的效率與功效,勢必發揮強大影響力。

除了ISMS之外,精誠資訊江嘉帆表示,目前所接觸的高科技大多是落在內湖、新竹科學園區一帶,內湖因為新興的園區,所以仍以基礎建設為主,陸續即將面臨的資安問題是資料的存取控管、加解密的部份;大樓的人員進出,包括員工、簽約的維護廠商、外賓等,應利用設備控管來有效管理這些進出人員的存取限制。另外,就是內部人員資料庫權限的管制,為了避免機密資料的外洩,因此檔案的加解密部份,則會更受重視。此外,目前高科技企業的資訊室,管理的除了是整個企業之資訊外,還有資安部份,面對如此龐大的內部使用者,要發現及尋找這些資安漏洞,可使用應用軟體排程協助找尋,但如何解決這些資安漏洞則是較大的問題。

證券業處於觀望
針對證券業的導入BS7799的看法,萬幼筠表示,弔詭的是證券業並未開始著手,因此,也極力的倡導資訊安全對證券業帶來長期的營運效益,然而,某些證券公司仍在評估其效益,同時,還有些證券正在做系統內部的整合,整體而言,仍處於觀望階段。

綜觀而言,資誠協理許偉健表示,實際上不管是金融業、政府單位和高科技產業在導入BS7799時,面臨到相同的問題,都為缺乏人力、資金、時間、組織架構不健全及上級長官的支持度等,目前我們接觸到銀行單位,大部份還是將資訊及資安由同一人執行,而政府單位最嚴重的問題是預的不足,礙於預算有限,可能會找較便宜的單位導入BS7799驗證服務,但其服務品質可能必須被考量的,而高科技主要重視在技術研發的部份,而忽略資安是應整體且全面的實施。

此外,許偉健也認為銀行、高科技、醫療、電信產業等涉及到個人資料處理的產業,將對資料保護更加重視,因2004年個人基本資料外洩事件頻頻發生,政府單位特別立法將原本「電腦個人資訊處理法」擴大到「個人資料處理法」,因此,只要有涉及個人資料的單位,將會更重視資訊安全的管理。

取得認證後應做什麼?
目前企業團體正一波一波地在取得認證,起初導入時一股熱潮,取得認證後就忽略資訊安全管理的確實執行或忽略到認證後應做什麼?蒲樹盛也表示,剛開始導入的企業,取得驗證後將持續提升安全目標,並改善風險評鑑及風險管理,一年做一次或二次內部稽核與管理審查,不斷對企業員工進行資安教育訓練,並將其擴散到比較大的層面,包含從業務部到委外廠商,從高階主管到員工,最後到企業整體。

安永管理顧問公司副總徐敏玲表示,BS7799可幫助企業對於資訊的安全性、正確性及可用性作良好的管理,同時將整體風險降低,對於尚需以人工方式執行流程管控的組織,會尋求自動化、電腦化的方案,以更有效率的方式對資安作管理。 萬幼筠表示,曾記得某公司導入BS7799認證時,一直強調資安是風險管理的基礎,正研究要怎麼做?用什麼方式?但最後發現這是個全民運動,也深刻體會到技術的先進並不等於能免於風險,他們的觀念是一個很好的典範。此外,提醒企業團體,在導入BS7799認證時,必須慎選顧問公司外,再來,經過認證一年之後,必得查看內部員工的執行狀況。

結論
面對2005年驗證市場急遽的成長,令人欣慰的是資訊安全管理觀念已在大多的政府、企業之觀念中,不斷的加溫、提升,資安事件頻傳已讓大多的單位體認到資訊安全管理的重要性,然而企業在導入驗證時又必須注意哪些事呢?

1.打破投入金額高代表資安做得越好之迷思

資安終於受到政府單位的重視,編列預算全面實施,目前大型的銀行都編列千萬元在這部份,萬幼筠表示,投入的金額高低並不代表資訊安全做得好不好,僅能代表重視的程度不同,其資安的問題涉及到各層面,但不能因為委外認證,就放置一邊,更應注意委外的品質。

2. 企業必評估控管系統布建的程度

以一般顧問公司而言,提供的就是上層服務,其下層的部份就必須投入大量資金,才有人會像x光般的深度掃瞄,檢視企業存在的所有問題,實際上,再執行一些專案時,在時間緊迫的壓力下,無法巨細糜遺的檢視。

另外,萬幼筠曾與某企業溝通一個觀念即控管數字多寡,並不代表控管品質的好與壞,也幫此企業做出一萬多套控管系統,將日常都有關係的安全問題完全涵蓋進來,但企業必須去評估是否有必要做那麼多,倘若真的有用也必須做得巨細糜遺,而不是以往的手術刀切除法,哪裡有問題解決哪裡,而以系統開發的部份而言,如果有新的開發業務,即考量在原本的系統架構上,再建構新的功能,如果進一步的能連貫管理和技術平台,即可促使金融服務一貫化、自動化,反觀目前國內金融業,還未有此服務。

2.服務能量的不足造成認證品質的危機

2005年導入認證系統的民間市場除金融、科技外,政府單位的成長更是驚人,因此,整個顧問生態即將面臨的服務能量的不足,就目前現況而言,台灣輔導BS7799認證的民間單位,有服務經驗的顧問不多,並不足以滿足整個市場的供需,其最直接的衝擊也是顧問人才缺乏,因此,萬幼筠認為如何培訓這些顧問人才是急於解決的,這可與學術單位或其它單位建教合作,然而,這波需取得認證的單位急速增加,目前業界尚未有這方面的人才培育計畫,再者更無評核顧問水準的機制和準則,大多數人對此了解不深,深怕需求單位找錯對象,而造成認證品質的危機。

總而言之,無論將來情況如何,可以確認的是導入BS7799認證市場未來充斥的商機,金融產業已有體認事在必行,除了政府專案急速擴增外,高科技業也是被看好的,然而以ISO9000認證的情形而言,則先做上、下層管理的產出文件,造成偽造文件事件頻頻發生,動搖認證品質的危機,倘若不肖認證服務公司僅看產出的文件來做考核,將影響到認證的品質,目前BS7799認證市場即將崛起,更需以此為借鏡!