觀點

ISO17799改版影響有多大?

2005 / 05 / 16
徐國祥、王婉伶
ISO17799改版影響有多大?

導正錯誤認知讓效益持續發效
每一個驗證標準在制訂過程中都會註明其年份,ISO國際驗證標準大致會在5年左右進行條文改版,但這也並非是常態性的做法,以ISO9000為例,上一版是在1999年時,很快又在2000年進行改版,且於2001~2002年時才公佈改版內容,而最近修正版本則在2005年,至於改版有何種特色?必須符合哪些原則?一般國際驗證改版程序包含幾個重要步驟,其一、流程導向(process approach),即PDCA(計畫、執行、檢查和行動);其二、名詞修正(term),例如針對Information Security名詞爭議做更合宜的定義;其三、現況環境,即符合現況環境,例如增加Mobile、Wireless等規範,舉凡上述都是基於要符合當時國際環境的變化而衍生的,因為如果不加以修正,將無法符合當下通行的名稱、用語和結構等來適宜的大環境考量。
但對於不了解ISO17799改版意義與內容的人而言,ISO17799改版無非已為想導入ISO17799的廠商投下變數,更造成部分協助導入ISO17799的顧問公司往往對其顧客傳達錯誤觀點,諸如一旦ISO17799更改版將造成先前取獲ISO17799驗證資格失效等,因此通常會建議廠商等待ISO17799新版頒佈後再進行導入,否則日後勢必將耗費更多金錢來進行新版導入的輔導工作。ISO17799的2005年版本更改幅度究竟為何?嚴格來說,假若要以改版條款數量、內容管理結構等來做衡量將很難界定其多寡,因為有關ISO17799的PDCA控制模組絕大部分仍都保留,如在127個控制選項中有約低於10%的刪除,更改部分約佔10%,而增加部分也約有10%,對照ISO9000改版情況為例,當時1994~20000年版本其條款內容、編排等幾乎完全更改可算幅度不大,這是由於1994年以前的管理概念較為薄弱,直至2000年時管理概念已有長足進展,整體而言,ISO17799的2005年版本更改幅度可說適宜。此一想法也呼應了資誠價值及風險管理服務部協理許偉健的觀點,他認為:「其實新版本的ISO17799-2只是增加了幾項管理準則。」但新舊版的標準差異有多少!必須讓客戶了解需要花多少時間?多少人力?多少經費?需要做哪些建置?因此在正式版本出現之後,制訂規範的織組就會針對改版條款舉辦說明會議,讓大眾更能明瞭改版精神意涵與重要更改條款內容。


因應改版現況的積極做法
錯誤的訊息通常是造成想導入ISO17799驗證的廠商將裹足不前的原因,這也會讓原本改版的美意變成更大阻礙。
BSi大中國地區訓練經理蒲樹盛表明自身看法,先前通過ISO17799的2002年版本的廠商也不用擔心,未來公佈ISO17799的2005年版時,兩者之間的內容也不致差異太大(約90%內容都仍符合原先版本),也不會造成原先通過的ISO17799的2002年版本就不被承認,只需在BSi規定時間內根據更改條款進行修正即可,更由於通過ISO17799的廠商必須每半年重新進行審查,因此可利用此時完成改版驗證工作,如此就可以獲得最新版證書,許偉健更以實際案例補充說明:「對於之前取得1999年版驗證的客戶,只需在經過1~2年的緩衝期後,再透過稽核來符合2002年版要求即可。」另外,對於正在進行導入ISO17799的2002年版本廠商而言,在其招標文件上可以2002年ISO17799版本為主,但可再重新明訂假使ISO17799的2005年版本正式公佈,得標廠商必須輔導改正ISO17799的2005年版本的不同條文規定,如此就毋須擔心取得驗證版本不同的問題。至於評估未來將導入ISO17799的廠商來說,面對即將公佈2005年ISO17799的版本時,究竟是要做ISO17799的2002年版本,或等待ISO17799的2005年版本再行導入?這類問題似乎仍未有急迫性,廠商唯一需要評估只有想導入哪一版本的問題而已,如果選擇2002年ISO17799驗證,待在下次稽核前再進行改版更新;當然也可選擇停止導入,待2005年版公佈後再做導入,凡此都需由廠商必需自身評量,但無論廠商選擇了何種時間點導入ISO17799,改版動作相信都不會造成已導入或未導入ISO17799的廠商之任何困擾。


後記
由於ISO17799的2005版本仍未正式公告,未來仍存在改動的機會,因此不針對更改條文做細部解讀,只就其更改原因和效益做闡述。但台灣位居全球科技領域佔有重要環節,因此對於重要國際驗證標準的變革必須非常關切,來為將來驗證取得做鋪路,但企業也必須深自明瞭的是,取得任何國際驗證只是符合當時國際普遍認知的一般安全標準,想要讓企業獲得更高的安全品質,唯有企業不斷自我提升安全規格才是最有效的指導準則。