ISO17799改版影響有多大？

導正錯誤認知讓效益持續發效
每一個驗證標準在制訂過程中都會註明其年份，ISO國際驗證標準大致會在5年左右進行條文改版，但這也並非是常態性的做法，以ISO9000為例，上一版是在1999年時，很快又在2000年進行改版，且於2001～2002年時才公佈改版內容，而最近修正版本則在2005年，至於改版有何種特色？必須符合哪些原則？一般國際驗證改版程序包含幾個重要步驟，其一、流程導向（process approach），即PDCA（計畫、執行、檢查和行動）；其二、名詞修正（term），例如針對Information Security名詞爭議做更合宜的定義；其三、現況環境，即符合現況環境，例如增加Mobile、Wireless等規範，舉凡上述都是基於要符合當時國際環境的變化而衍生的，因為如果不加以修正，將無法符合當下通行的名稱、用語和結構等來適宜的大環境考量。
但對於不了解ISO17799改版意義與內容的人而言，ISO17799改版無非已為想導入ISO17799的廠商投下變數，更造成部分協助導入ISO17799的顧問公司往往對其顧客傳達錯誤觀點，諸如一旦ISO17799更改版將造成先前取獲ISO17799驗證資格失效等，因此通常會建議廠商等待ISO17799新版頒佈後再進行導入，否則日後勢必將耗費更多金錢來進行新版導入的輔導工作。ISO17799的2005年版本更改幅度究竟為何？嚴格來說，假若要以改版條款數量、內容管理結構等來做衡量將很難界定其多寡，因為有關ISO17799的PDCA控制模組絕大部分仍都保留，如在127個控制選項中有約低於10%的刪除，更改部分約佔10%，而增加部分也約有10%，對照ISO9000改版情況為例，當時1994～20000年版本其條款內容、編排等幾乎完全更改可算幅度不大，這是由於1994年以前的管理概念較為薄弱，直至2000年時管理概念已有長足進展，整體而言，ISO17799的2005年版本更改幅度可說適宜。此一想法也呼應了資誠價值及風險管理服務部協理許偉健的觀點，他認為：「其實新版本的ISO17799-2只是增加了幾項管理準則。」但新舊版的標準差異有多少！必須讓客戶了解需要花多少時間？多少人力？多少經費？需要做哪些建置？因此在正式版本出現之後，制訂規範的織組就會針對改版條款舉辦說明會議，讓大眾更能明瞭改版精神意涵與重要更改條款內容。


因應改版現況的積極做法
錯誤的訊息通常是造成想導入ISO17799驗證的廠商將裹足不前的原因，這也會讓原本改版的美意變成更大阻礙。
BSi大中國地區訓練經理蒲樹盛表明自身看法，先前通過ISO17799的2002年版本的廠商也不用擔心，未來公佈ISO17799的2005年版時，兩者之間的內容也不致差異太大（約90%內容都仍符合原先版本），也不會造成原先通過的ISO17799的2002年版本就不被承認，只需在BSi規定時間內根據更改條款進行修正即可，更由於通過ISO17799的廠商必須每半年重新進行審查，因此可利用此時完成改版驗證工作，如此就可以獲得最新版證書，許偉健更以實際案例補充說明：「對於之前取得1999年版驗證的客戶，只需在經過1～2年的緩衝期後，再透過稽核來符合2002年版要求即可。」另外，對於正在進行導入ISO17799的2002年版本廠商而言，在其招標文件上可以2002年ISO17799版本為主，但可再重新明訂假使ISO17799的2005年版本正式公佈，得標廠商必須輔導改正ISO17799的2005年版本的不同條文規定，如此就毋須擔心取得驗證版本不同的問題。至於評估未來將導入ISO17799的廠商來說，面對即將公佈2005年ISO17799的版本時，究竟是要做ISO17799的2002年版本，或等待ISO17799的2005年版本再行導入？這類問題似乎仍未有急迫性，廠商唯一需要評估只有想導入哪一版本的問題而已，如果選擇2002年ISO17799驗證，待在下次稽核前再進行改版更新；當然也可選擇停止導入，待2005年版公佈後再做導入，凡此都需由廠商必需自身評量，但無論廠商選擇了何種時間點導入ISO17799，改版動作相信都不會造成已導入或未導入ISO17799的廠商之任何困擾。


後記
由於ISO17799的2005版本仍未正式公告，未來仍存在改動的機會，因此不針對更改條文做細部解讀，只就其更改原因和效益做闡述。但台灣位居全球科技領域佔有重要環節，因此對於重要國際驗證標準的變革必須非常關切，來為將來驗證取得做鋪路，但企業也必須深自明瞭的是，取得任何國際驗證只是符合當時國際普遍認知的一般安全標準，想要讓企業獲得更高的安全品質，唯有企業不斷自我提升安全規格才是最有效的指導準則。