智慧財產局主動導入BS7799 　領先各國專利商標局

行政院資通安全會報規範為C級單位的智慧財產局（TIPO ），並不屬現階段被要求通過資訊安全系統（ISMS）認證的單位，卻於92年9月委請專業顧問協助，主動導入BS7799國際資訊安全管理系統，是什麼啟發讓TIPO有這樣的先見和行動力？
業務特性的需求
智慧財產局主要的工作為專利權、商標權、著作權、積體電路佈局及營業祕密五大類之管理審查事項，以及智慧財產政策、法規、制度之研究、擬定和執行。在業務特性上，智慧財產資料對機密性的要求更高。 以專利為例，由於每筆專利的資產價值動輒上千萬、甚至上億元，萬一有不肖人士上網篡改專利所有人或內部的審核資料，或資料庫的資料遭破壞篡改，後果不堪設想；維持網路的可用性、完整性和安全性是TIPO無庸置疑的重責大任。
TIPO副局長蔡惠言提及︰「透過網路提供民眾最佳的資訊，是現今最重要的服務管道；將資料庫透明化的提供至網路上，讓國內外民眾申請專利、商標檢索，並且保障民眾的智慧財產權是TIPO的職責，導入ISMS的唯一理由，就是要讓民眾知道TIPO的網路環境和資料庫是健康的，那麼通過ISMS驗證則是必然的方法。」
TIPO資訊室第二科科長柳黛蘋補充，即便平時就能做好內控，也有資訊安全的認知，但是對自我內控品質的高低並不知達到什麼層級；透過BS7799外部稽核的審查功能，可協助和確認TIPO的品質是維持在水準之上的。

『e網通計畫』的基礎
由於資通安全會報對各單位需導入資訊安全系統的政策架構、時間表及溝通協調很清楚，C級單位需在民國97年前完成ISMS認證，身為下屬單位的TIPO已充分認知『導入ISMS是遲早要做的事』。加上『智慧財產權e網通計畫』，自民國92年開始建構，預計5年完成，未來所有的專利申請案將透過網路的安全機制，全力走向“無紙化”。為保障專利商標所有人的權益。TIPO優先導入網路服務的ISMS認證，亦是在為e網通計畫奠定安全基礎。
蔡惠言表示，智慧財產的整個保護流程，自審查到上網公告、提供民眾查詢、資料庫儲存，包含法律和商業的問題等，未來的e網通計畫不只是技術問題，而是如何管理及制度化的問題；而制度化的精神是『平常就得保持最佳狀態，不是偶而為之』BS7799一年2次的稽核，督促安全工作的持續運作，讓資訊資產保持在最佳狀態。

高階主管的識見
蔡惠言在專利、商標、標準、度政相關業務已有36年經驗。15年前蔡惠言就接觸了BS7799，當時任職於智慧財產局前身中央標準局（NBS），但當年礙於國內資訊安全觀念並不成熟，在推動資訊安全工作上有很大的困難；民國88年中央標準局改制為智慧財產局，仍持續大力推動TIPO資訊化。因此，身為副局長的蔡惠言本身早已有相當程度的認證觀念，蔡惠言強調，認證是國際趨勢，也是全世界必須走的一條路，透過認證接受標準的評鑑，就像人每年要接受健康檢查一樣，讓人家知道你是健康的。
有了這些共識，當資訊室向蔡副局長提出導入ISMS的專案規劃時，副局長很快的理解到資訊安全的重要性，便全力支持，而副局長向蔡練生局長報告時，蔡局長亦是馬上允諾。柳黛蘋表示，TIPO不同於其他單位的特點在於高階主管的卓越識見和全力支持，在整個導入的過程具相當大的助力。

六階段建立系統
民國92年9月開始藉助專業輔導導入BS7799，前半年為導入階段，後半年是內部預演，之後經過認證單位的建議，針對需改善的報告做修正，改善後再經過一段觀察期，隔年8月時始完成書面審查，一年下來，從無到有完成了這個任務；此作業過程可分成六階段詳述。
第一階段為資訊安全管理系統評估階段：
依現有業務、文化特性、組織架構，相關制度和人員職責，以BS7799之規範及行政院相關規定進行評估，依據評估結果作為ISMS建置規劃之參考。並成立資訊安全推動小組，為TIPO推動資訊安全的最高指導組織，蔡惠言副局長為召集人，各組室的副主管擔任委員，負責資訊安全的政策規劃及制定。
第二階段為資訊資產分類及風險評鑑階段：
將資訊資產分為五大類，包括軟體、硬體、文件、資料及人員等，做資訊資產的質與量分析、資安弱點可能引起的外在威脅、依資產價值做強弱危險分級，並配合成本與效益考量，產出『風險評鑑報告』。
第三階段依據『風險評鑑報告』再改善階段：
依據前一階段之『風險評鑑報告』，由BS7799之127項控制措施選定符合之控制要項，設計適用性聲明（SOA，Statement of Application），並訂定風險處理計畫，對未來可能發生的風險做評估，降低至可接受範圍，以減少意外事件對TIPO造成的傷害。
第四階段為符合標準之文件建立階段：
決定每項資訊資產應採用的控制項目及程度後，此階段的主要工作是訂定詳細的資訊安全標準、作業程序以及表單規格化，以作為管理和執行的準繩。
第五階段為內部稽核及故障復原演練規劃階段：
為建立BS7799之稽核體系，以追蹤相關工作是否符合標準地被執行，TIPO成立內部跨部門之稽核小組，每半年辦理一次內部稽核，定期進行災害復原演練，確保ISMS品質。
第六階段為資訊安全觀念之宣導及管理人才培訓：
資訊安全管理制度的成功關鍵在於“人”，蔡惠言強調，局裡的每一個人都是“螺絲釘”，必須堅守自己的崗位，也必須都有安全的觀念。TIPO每年至少舉辦一次全局同仁的資安通識講習，包含工友都必須參加；聘請專家學者至局裡為資訊人員做資安專業教育訓練，深化同仁對資訊安全的重視。同時選派人員參加BS7799主導稽核員受訓，藉由通過認證考試、獲得主導稽核員證照等來增強資安管理能量。

成功因子
導入認證之後，相信鉅細靡遺的作業流程對局裡的同仁來說，不但責任加倍、麻煩也加倍。要如何讓同仁有感而發的認知資訊安全的重要？以及能視安全為己任，不再讓資訊室獨背這個安全的重責大任呢？如果透過教育訓練就可達到的話，“人”的問題似乎就簡單多了。TIPO成功導入ISMS認證，有幾個不可忽視的因子，與讀者分享。
革命情感的向心力
蔡惠言與幕僚之間有著深厚的革命情感和凝結力，對政策的實施有較一般單位更強的共識和默契。蔡惠言聊到，當年陪著同仁一起走過Y2K的經驗；1999年時帶著十幾位同仁，過著9個月沒有所謂下班和假日的歲月，一直熬到11月完成初步測試，之後再不斷地反覆演練，以確保資料安全，最後安全過了千禧年的那一刻，同仁們相擁同慶…。
和同仁過去一起打拼的日子，蔡惠言說：「不計較你我，計較事情是否達成，這是非常不容易的事情，同仁之間的共識是克服困難和達成目標的關鍵。」而現在的資訊室也是本著同樣的革命情感和共識，完成這項艱鉅任務。
把同仁當做客戶
TIPO有設立一個“1138熱線”，假使同仁的電腦有問題，就可馬上撥此分機尋求資訊室協助，電腦上也會有紀錄，並且每2個月開一次關於使用者端的檢討會議，且於年終時做客戶滿意度問卷調查與資訊室評分，以了解資訊室和同仁之間的互動和默契是否良好，及使用者的滿意度等，建立“同仁也是客戶”的觀念。
同時，透過“1138熱線”的檔案記錄，分析出電腦經常出現的狀況，哪一個系統、哪一種設備常出現的問題，資訊室亦會有一份統計清單，供採購時可針對有可能瑕疵項目做更多測試和驗收，避免資源浪費，同時降低使用者日後困擾。 蔡惠言表示，BS7799傳達給每個同仁的思維是，哪個同仁出了紕漏，將來造成的錯誤，抱怨是無濟於事的，因為那是個人造成整體資訊安全的脫鉤，必須自我負責。更讓同仁明確地了解，安全並不是資訊室的責任，每一個同仁都是責無旁貸的。
代理人制度
除了人性化的管理外，在制度化的規範上有一個重要的“代理人制度”；因為危機處理是無法等候的，需要有副的召集人，具絕對的責任感和行動力，在危機發生時啟動應變機制。 蔡惠言舉例說到兩年前納莉颱風時，因水塔故障造成資訊室過熱的異常事故，經過此經驗的教訓，現在機房超過溫溼度時，會有警訊通知主任、科長及承辦員的手機和呼叫器，任何時間（24小時全天候）相關負責人都需馬上回到崗位作危機處理。另外，局裡會舉辦不定期演練，如果召集人三分鐘內手機無任何回應，副召集人必須馬上代理，啟動應變機制。
當時由於納莉颱風相當嚴重，造成景美溪暴漲倒灌，也造成位於深坑的檔案室地下室壓力超過負荷而淹水的危機，蔡惠言視情況危急，晚上11點馬上指示住在附近的人員視察，當時水已淹至5公分了，於是迅速啟動應變機制，開啟抽水馬達，派遣住在附近的工讀生堆積砂包，處理到隔天清晨，讓佔地比足球場大的檔案室能倖免於納莉帶來的嚴重災情。

通過認證後的具體提升
TIPO通過認證後，對局裡的管理較具體的幫助和提升如下：
一、每位同仁有了安全概念，對資訊安全的枝枝節節更小心留意，像對自己電腦的機密性防護等更加的提高警覺。
二、對網路服務的機密性、正確性、完整性，以及快速、安全等觀念也更加提升。
三、經過導入ISMS認證的過程，每個同仁對自我職掌的要求和落實，與同仁間的合作的“連結”，形成一個“網”後，持續提升了團隊的榮譽感。
四、民眾對TIPO網站的正面評價相當高，證實了TIPO的績效。為落實平常就確實做好安全防護工作，TIPO制定了網站的「服務水準協定」，並朝著更高的品質努力，也從數字中看到服務水準的成長。

未來規劃
TIPO因考量外部網路的變數較多、安全的急迫性高，因此以網際網路的部分優先導入，內網的部分預計在『智慧財產權e網通計畫』中執行。
再者，未來將規劃第三異地備份存放機制。TIPO的資料目前分別位於局本部和深坑兩地，但相距僅5公里，雖有地利之便，但就異地備援的角度來看，有距離不足的缺點。目前已籌建距局本部200公里以上的第三異地備存放地。

結語
蔡惠言最後強調，要做好資安，減少漏洞，最重要的要件，一是制度化，另一則是每個人必須認同安全機制，做好一個螺絲釘的職責，全局動起來。
由於TIPO的業務是國際化屬性，資訊化已相當蓬勃發展，現在導入並通過BS7799認證，更給此單位一股肯定的力量，“我們有BS7799國際認證”也成了TIPO與國際問溝通時共同認知的語言。有這樣的殊榮，蔡惠言說︰「我們感覺到的不是驕傲，而是未來的責任更大」。