觀點

揭開ISO 27001輔導-驗證內幕

2008 / 09 / 05
張維君
揭開ISO 27001輔導-驗證內幕
在全球通過ISO 27001家數統計的排名上,台灣高居第四。然而取得認證就是為資安掛保證嗎?台灣ISO 27001驗證/輔導市場眼看即將成為一片紅海,這背後到底是什麼原因?

根據ISMS證書國際註冊(International Register of ISMS Certificates)網站的統計,截至目前為止台灣通過ISO 27001驗證單位總計約有165家,僅次於日本、印度與英國,排名成績相當亮眼。其中主要原因在於行政院資通安全會報對機密等級列為A、B級單位分別要求在民國96、97年前需建置ISMS並取得第三方機構驗證通過。根據統計,在約100家的A級單位中,已取得認證通過者約佔7成,而B級單位目前通過者則僅20多家。熟知市場人士認為,一半以上的B級單位恐怕皆有導入上的困難…。而原本希望由政府帶頭引領產業重視資訊安全管理的這把火,又能否真的延燒到產業來?

市場供需改變,亂象百出
自94年政府開始積極推動BS7799(ISO 27001前身)至今,已陸續約有64個A級單位取得驗證通過,以及少數B級單位,總計政府機構在目前總通過家數中就超過半數,也的確帶動一些民間企業評估後跟進導入,因此ISO 27001的顧問輔導與驗證稽核市場在95、96年間維持了好一陣榮景。然而有這樣一塊市場大餅,當然也會有更多新的顧問與驗證公司加入瓜分。本來自由市場應該讓供需兩端自然達到新的平衡,有競爭才有進步。適者生存,無法滿足顧客的供應商在競爭過程中被逐漸淘汰,能滿足顧客需求者得以生存下來。然而目的同樣是為了ISMS的建立,顧客需求與動機卻大不相同。對的需求可能使供應端因競爭而進步,不對的需求卻可能促使供應生態出現劣幣驅逐良幣的情形。

在深入剖析顧客需求之前,先談目前ISO 27001顧問與驗證市場的情形。以顧問輔導市場來說,早期主要是由四大會計師事務所的管理顧問公司最先開始經營起ISMS的輔導業務,後來業務量擴增許多由「四大」出去的SOHO顧問便開始與四大合作,外包他們無人力消化掉的輔導案。再來,資訊服務業者、系統整合廠商在自己導入ISMS、取得認證過後,也由相關專案負責人開始對外承接ISMS的顧問輔導業務。還不僅只這些類型的ISMS顧問,驗證公司指出,更有剛入行的顧問針對那些要二次進行顧問輔導的標案市場用低價得標後,以『了解過去建置情形為名』取得客戶先前被輔導時建立的文件與制度,開始仿效起別人的方法論。因此,現在顧問輔導素質可說良莠不齊。

而這些新的管理顧問公司礙於得標價格過低,無力負擔大型驗證公司的驗證成本,因此找新驗證公司合作。經驗不足的顧問加上新驗證公司又如何能靠低價在市場上存活下來?回歸到需求端來看,有些組織建置ISMS的動機,只為了順應主管機關的要求,以取得證書為目的,不在乎建置成效如何,因此便出現了以下奇特現象:輔導顧問要求驗證稽核員不要開缺失,全部列觀察項;驗證公司自己包輔導;驗證公司指定與某輔導顧問配合…等。此外,需求端訂定極小的驗證範圍,只驗資訊系統,甚至還只驗機房裡的供電系統;也有連BCM(營運持續管理)全部沒做都可以過關者。

確保稽核成效,驗證公司評選自己來
正因為客戶端有著以證書為目的的需求,為了省去導入過程中的麻煩,便要求得標的輔導顧問必須同時保證驗證通過。因此便有顧問找驗證公司「配合」的情形出現,使得原本應該要能相互制衡的輔導與驗證兩方失去作用。驗證公司表示,在公開招標的建議徵求書(RFP)上,把驗證作業當成是輔導專案的一環,這的確是台灣標案市場的特殊現象,其他國家並沒有看到這樣的問題。

負責稽核驗證公司的認證機構財團法人全國認證基金會(TAF),執行長張滿惠指出,根據ISO 17021的規範,驗證公司不能與顧問輔導公司有聯合行銷的行為。但對於目前實務上合案招標所衍生的問題,張滿惠無奈表示,還是只能對企業/組織提出呼籲,導入ISMS應自發性地由上到下推行才能發揮實際效益。TAF驗證機構認證處處長范姜正廷表示,合案招標的問題早在92年行政院公共工程委員會就曾發文,指出ISO 9000、ISO 14001驗證與輔導的標案應分案招標。94年經濟部標檢局曾再度發函公共工程委員會,指出該文應該納入資訊安全管理系統(CNS 17800、BS7799-2),但由於標檢局不是主管機關因此公文上寫的是「建請」,而公共工程委員會當時也同意此文看法,因此直接將此文放上網站公告,卻少了再度行文各單位的動作,導致後來被解讀為是「建請」而非較為強制性的「應」分案招標。因此現在除非有人主動通報公共工程委員會,否則他們不會主動調查目前政府機關ISO27001輔導驗證標案的合案招標情形。

提供ISMS顧問輔導的宏瞻資訊協理張美月則認為問題不在於合案招標,因為實際上客戶是可以在標案當中指定驗證公司的。過去也有過政府單位自己內部同仁評選過驗證公司且上過稽核員訓練課程後,指名驗證公司甚至主導稽核員的例子。而實務面上,由於承辦人認為輔導與驗證算是同一件事,因此多半不另花時間分2案公開招摽。張美月認為ISMS建立起來成效好壞在於客戶的心態,有些只想取得證書,或者怕影響考績而希望外部稽核不要開立缺失的,當然也就有比較寬鬆的驗證公司來滿足此類客戶需求。「我認為被開缺失是難免,其實只要不是嚴重的缺失都還是可以順利認證通過的。」她說。

追本溯源,為何需求端會有這樣的改變,驗證公司指出,從2006年開始看到有這樣的情形出現,尤其去年此一問題越趨明顯。早期A級單位擁有較多資源可以來導ISO 27001,所以他們會去評選後指定驗證公司,而B級單位在人力、經費都不足的情況下,又被要求要取得認證,於是就衍生這些現象。

對於B級單位目前所面臨的問題,行政院科技顧問組表示既定的政策、目標不會改變,所有B級單位仍然必須在97年底前取得ISO 27001認證通過,但將來會進行一些政策上的檢討,針對B級單位的需求問題提出配套解決方案。
你知道嗎?
證書維持有效性有幾家?

根據ISMS證書國際註冊(International Register of ISMS Certificates)網站的搜尋結果,在全台取得ISMS證書的165個單位中,有20家未繼續維持證書有效性,所登錄的證書標準仍是BS 7799-2:2002;而其餘145家則是持有ISO 27001:2005標準證書。
驗證範圍比一比
有在該網站上登錄ISMS驗證範圍者台灣總計有138個單位,含公/私部門。多數是只導入數個業務相關系統,有些是涵蓋IT部門全部含機房,包含全部流程者極少數。
資料來源:www.iso27001certificates.com

驗證範圍宜由主管機關監督

至於那些為了取得證書而訂定極小驗證範圍的客戶,驗證公司均表示由於是做符合性驗證,因此無法拒絕範圍太小的客戶,但會盡量與輔導顧問溝通,至少納入一個資訊系統進來。驗證公司也建議,驗證範圍定出來之後,是否涵蓋到核心流程,主管機關應該要負責認可,因為主管機關比較了解所屬單位的核心流程是什麼,因此應該強化主管機關的職責,讓他們來監督。
民間企業則是可以發揮供應鏈的力量,客戶可要求上游廠商或合作夥伴取得驗證通過,例如賓士汽車曾要求下游廠商必須取得指定驗證公司所核發的證書,可見企業很多導入
ISO 27001是為了做給其客戶看。因此驗證公司也建議政府可以補助兩兆雙星產業尤其是中心廠先導入ISO 27001,這樣一來中心廠導入之後,就會慢慢要求並帶動下游廠商跟進導入。

證書有二種,ISMS版本好幾種
前文提到驗證公司指定特定輔導顧問公司配合;接受客戶指定稽核員;或者自己承攬顧問輔導業務等情形。張滿惠表示,驗證公司及其稽核員必須通過ISO 17021的認證,而負責為驗證公司做認證的認證機構(AB, Accreditation Body)在台灣是TAF、英國是UKAS、德國有TGA、紐澳是JAS-ANZ等。以目前資通安全會報的規定,A、B級單位只需「第三方認證」通過即可,並沒有特別指明要取得TAF或UKAS核發的證書,因此有些跨境來台營業的驗證公司,其國外總部通過認證後沒有TAF的認可也能在台提供驗證服務。由於台灣不像中國有法規,凡在中國營業的驗證公司必須通過當地AB認證後才能營業。張滿惠解釋,TAF對驗證公司1年至少1次定期稽核。據了解,其他國外的AB如UKAS對亞太地區驗證公司的稽核是抽籤決定,不見得驗證公司每年都會被稽核。

由於TAF證書在國際上的知名度較低,且固定每年都會來稽核,標準也很嚴格,據聞有些驗證公司不參與TAF認證也不鼓勵客戶拿TAF證書。目前通過TAF認證的資訊安全管理系統驗證公司僅5家(詳見TAF網站)。張滿惠指出,TAF在品質管理系統(QMS)、環境管理系統(EMS)的檢驗,已跟國際認證論壇(IAF)、太平洋合作組織(PAC)簽署多邊相互承認協議,至於ISMS則因為目前國際上許多國家還沒有推行ISO 27001,普及性不算高,所以國際協議簽署的進度較慢。張美月表示,通常會建議客戶UKAS、TAF 2種證書都拿,兩者在驗證程序或文件整理上沒有差別,除非政府單位不需要國際接軌又有預算限制,才會建議只拿TAF證書。

至於稽核員的稽核標準有嚴格寬鬆的差別、驗證公司稽核員的資格不符等問題,受訪驗證公司均指出,公司本身對於稽核員訂有一套內規,包括必須嚴守利益迴避原則、對稽核報告如何層層把關等。對稽核員的資格認證部份,目前ISO 17021有一套標準,包含PART Ⅰ學歷經歷、PART Ⅱ原則性要求,將來這部份也會拉到ISO 27006來,且ISO 27006預計會對稽核員是否具備相關產業知識的部分作進一步規範。至於,現在許多曾上過ISO 27001主導稽核員(LA, Lead Auditor)課程者會在名片印上ISO 27001 LA頭銜,其實根據國際審核員註冊協會(IRCA, International Register of Certificated Auditors)的規定,主導稽核員必須達到一定天數、次數的駐點實務稽核經驗才有資格申請LA,如果只上過課、通過考試只是具備LA的候選人資格。但張滿惠表示,目前TAF在稽核驗證公司的稽核員並未要求IRCA登錄。她表示稽核員向IRCA註冊的登錄費用並不便宜,且只做書面審查。ISO 27001或許可由本地相關資安學會或機構來進行人員資格驗證,如同目前ISO 9000由中華民國品質學會擔任稽核員的人員驗證機構一樣。

ISO 27001推行至今,另一個現象是漸漸出現中小企業版、教育版、政府版等以ISO 27001 133條準則為範本而調整的資安管理系統。然ISO 27001代表國際共通的標準,如果有任何精簡版出現,由特定驗證公司經特定認證機構認可後發證,自成一種驗證機制,那麼該版本是否真符合ISO 27001國際標準的精神,又該證書是否能受到其他人甚至國際認可?市場人士認為,如果有任何版本的資安管理系統,應該是要在原本的ISO 27001國際標準之上,增加一些適用特殊產業的條文,而不是以刪減的方式達到所謂精簡版,也就是可做深度方面的放寬而非廣度的刪減。以德國為例,他們除了有ISO 27001準則之外,還往下定出更具體的解釋;日本則是先從小的體制開始做,慢慢做到與國際ISO標準接軌。

驗證可分階段,但導入一定要全面
總之,上述談了許多目前ISO 27001驗證輔導市場需求與供給面的問題,回歸到導入的根本動機來看,企業/政府應以務實的眼光看ISO 27001。通過驗證不代表就沒有資安問題,驗證公司核發證書卻不表示為組織的資安環境背書。許多單位過度膨脹ISO 27001證書的效益,但ISO 27001不是萬能。它只是提供一個ISMS管理架構,依照此架構來管理資安會比沒有任何架構來得完整,但只是相對比較好,不是保證從此不會有任何資安問題。

儘管ISO 27001不是保險或保證,但它確實有其效益。依照ISO 27001架構管理資安的組織,將來若遇到資安事件或發生問題,會有P-D-C-A的循環或自我內稽的機制,能夠協助將損失降到最低。

如何提升ISMS導入效益
1.派員上課
目前市場上提供ISO 27001訓練課程的種類與選擇有很多,除了主導稽核員課程外,也有基礎認知課程、內部稽核員課程、輔導建置課程等。在顧問進來輔導,文件完成後去參加驗證公司開的課程,這樣在與顧問互動的過程中會更容易進入狀況;顧問輔導前先上課的好處則是上完課之後會更清楚自己需求,知道如何來評選適合自己的顧問公司。
2.組委員會慎選顧問輔導
不論是找IT資服業者或管理顧問公司,應詳加打聽該顧問輔導團隊的負責人是剛進入此市場,或是從管顧公司出來有經驗的。企業須清楚自己內部缺的是什麼,然後組成評選委員會來挑顧問公司。
3.導入工具
ISMS制度完成後在風險評鑑方面可以用到工具,但工具只是輔助、提供一個範本,企業不是依照工具做完風險評鑑就沒事。此外企業有些原本IT系統就有稽核報表功能者宜妥善利用。
4.顧問角色漸減少、專案承辦人自立自強
顧問的角色在協助取得認證後,應慢慢減少其重要性,讓專案承辦人能自立自強。例如第二年複檢僅由顧問協助IT資產新增或刪除部分的風險評鑑,以及在外稽之前,協助做內稽即可。

 

驗證公司怎麼說
英國標準協會BSi台灣分公司教育訓練部協理蒲樹盛:「建置ISMS不一定要驗證,但一定要核心流程全部推行!」
我認為如果沒有配套就不要強制B級單位來做,B級單位沒有人力、沒有資源的話乾脆就不要做!如果希望主管機關負起監督責任,就必須回歸到法律基礎上,先給予推動當局足夠的行政命令職權,如此政策才可能被確實落實。
企業在評選也可以看驗證公司的客戶是A級單位多或是B級,以及驗證家數是否在短期之內成長很快、很多的。
以我們來說,目前6位稽核員都是全職,就是要避免兼職的稽核員會利用其他時間去接顧問輔導的案子,避免一手輔導、一手驗證稽核的弊端。至於證書的部份,如果客戶沒要求,我們也會TAF、UKAS兩種都發。為了讓客戶接受台灣自己的證書,我們還自行吸收TAF的發證成本。
我認為,建置ISMS不一定要驗證,但一定要核心流程全部推行,否則「只有小指頭健康不代表整個身體健康!」全部流程導入之後,驗證可依組織實際資源分階段或年度再來進行。

台灣檢驗科技(SGS)全球產品經理呂敏誠:「每個稽核員心中那把尺必須很清楚,該開缺失就開。」
我建議在正式開始驗證之前先做Pre-assessment,跟輔導顧問及客戶溝通以化解驗證範圍訂定太小的歧見。至於輔導跟驗證合案發包是符合市場需要,客戶因為人力有限所以需要Total Solution。我認為市場上比較大的問題是,有大陸驗證公司進入政府標案市場為政府機關驗證、發照,因此主管機關應協助承辦人員撰寫符合相關原則規範的ISO 27001驗證、輔導的RFP,而且可以訂定給A級、B級單位不同嚴謹程度的RFP。
面對市場上的激烈競爭,我們還是很重視稽核員的培訓及產業實務經驗,不希望看短期打價格戰,該開缺失的就開,遇到客戶以考績為由希望不要開缺失時,我會清楚告訴客戶:「有缺失,但以後用調整過後的方法來做,從前爛帳就一刀切開。」這樣的稽核經驗會在我們的培訓中被傳承下來。此外我們也會有兼職的稽核員,像學校老師就負責稽核學校。 

香港商漢德技術監督服務亞太有限公司(TUV NORD)經理古智仲:「資訊安全的範圍並不應該只有管理系統,應該繼續往下延伸到系統面、以及對資訊產品的安全需求等方面。」
除非導入單位本身真正有心想好好藉由ISO 27001所提供的架構來保護公司重要的資訊資產,才會主動要求輔導與驗證機構如何避免利益衝突並達到相互制衡。其實任何驗證都一樣,會有許多單位是只為了取得證書而導入管理系統,但隨著時間過去,這些單位自然會不再去維持證書的有效性,但也會有其他新的單位有驗證的需求,這是市場上的自然反應。也建議政府應可加強法規的制定,推動全民教育,例如個人隱私法。企業則可透過組織的管理機制,評估制度的落實與有效性。