探索證書背後的價值─導入BS7799週年之後的心得分享

許多單位會想要導入BS7799的動機都不盡相同，有些是了解到自己確實有此需要，有的則是礙於上級的壓力，但是無論是主動還是被動，至少在通過BS7799驗證之後，並經過實際運作超過一年之後，應該可以感受到導入BS7799的確實意義與效益。這次我們分別採訪到建華銀行、宏泰人壽與TWNIC（台灣網路資訊中心），這三個單位所屬的行業別並不相同，企業的核心資產也不一樣，但是在導入BS7799的過程中，大家還是有許多共同的心聲。
BS7799背後的價值不僅在於證書
從表面上看，導入BS7799的最終結果是拿到那一張證書，但實際上，證書背後代表的這個單位在政策、制度、流程、觀念，甚至是企業文化上的改變。
建華金融控股股份有限公司資訊作業中心資訊技術組襄理謝持恒表示：「建華銀行當初會考慮導入BS7799，主要是高階人員體認到安全的重要性，因此在2000年8月便開始研究BS7799的條文，在當時國內還沒有顧問服務公司能夠做BS7799的輔導。在導入之前便開始進行差異分析，經過自我體檢之後，以了解企業與國際間的落差，在高層的支持下，定為年度工作目標，推動BS7799的計畫。」在回憶起當時的情況時，謝持恒表示：「建華銀行在通過驗證之後曾遭遇到納莉風災，幸虧有做好異地備援，順利地通過考驗，不過這並不是意味著通過BS7799就代表著在資安上已經萬無一失，它就像是防洪建設一樣，是一種百年大計，重點在於能否將BS7799的精神貫徹下去，將深度繼續往下延伸，而不是僅想要保有驗證資格就夠了，畢竟環境在變、技術也在進步，有很多資安問題仍在不斷地出現，處理的方法也並非一成不變，必須能夠提前找出可能發生的問題，而不是發現漏洞之後才去補，關鍵在於做事的方法與態度上的改變，才能做好資安工作。」
宏泰人壽是少數在名片上擺放BS7799驗證通過標誌的公司，在網站上也有專門針對這張證書進行介紹，這代表著宏泰人壽對於BS7799的重視。宏泰人壽保險股份有限公司襄理林昌儒表示：「當初想要導入BS7799，主要是因為高層的支持，希望強化電子商務的服務品質與客戶資料的機密性，導入的過程為將進一年半的時間，涵蓋了宏泰人壽的管理高層與各單位的主管參與。通過了BS7799驗證之後，對外部，保戶對於宏泰的資訊安全更有信心，對內部，降低了資料與系統的錯誤機率，長期而言也提高了工作效率。」
負責台灣地區網域登記與管理的財團法人台灣網路資訊中心（TWNIC）屬於政府的20個A+級單位，必須優先導入BS7799，TWNIC副執行長代執行長呂愛琴表示：「導入BS7799之後，從管理面來看，最重要是強化了每個同仁的資安意識，在事件的追蹤與管理上也更制度化，當發生事件時會有一套標準處理程序，可以減少損失並盡快回復，責任的釐清與歸屬也會更明確，在管理上會更有效率。」目前在TWNIC登記註冊的中文、英文網域名稱超過26萬筆，如果TWNIC停止運作，將影響到整個台灣對內與對外的網站連接，其重要性不言可喻。目前TWNIC已經通過BSi的兩次續審，並沒有重大異常，均能夠達到預定的安全目標。

落實制度化不受人員異動的影響
因循BS7799的規範，多少會在原本的作業流程上增加許多管制，造成與操作者原有的作業習慣不同，產生一些工作上的不便或麻煩，這通常會成為推動資安政策上的阻力。建華金控謝持恒表示：「資訊安全管理系統（ISMS）是一種管理體系，在人的管理上更是重點，必須改變相關人員對於資訊安全的想法與習慣，一點一滴地去執行，在企業文化上對執行的成效相當重視，雖然資安屬於基礎工作，無法具體地看到成效，但這仍有賴主事者的堅持，再根據問題的輕重緩急與預算的多寡做適度的調配。」建華銀行能夠推動資安工作如此成功，有賴於擁有一個認真負責的推動小組，以及主事者與推動小組人員的穩定，同事間主動會以系統化角度來思考與規劃問題，讓資安政策的推動有不間斷的延續力，謝持恒表示，「隨著組織的變動，新人的培訓也必須積極進行，以使每個人都能夠有基本的共識，取得組織的平衡。」雖然說「人」對於資訊安全有重大的影響，但是謝持恒也強調：「ISMS是管理系統，不可以加入太多人為因素，因此需要落實為制度化，這樣才不會受到人員流動與組織變動的影響。」
宏泰人壽林昌儒表示：「在資安政策的推動上，如果主事者階層不夠高，便有可能無法把政策加以落實，有些資安政策也有可能跟一些其他政策抵觸（例如印表紙回收與資安規定衝突），不過，原本公司內部就有一套稽核制度，結合上BS7799的規範，使得所有的過程都白紙黑字地留下紀錄，對於責任的釐清與歸屬，將會更為明確。」
TWNIC技術組組長許乃文表示：「從技術面來看，以往的日常運作本來就已經有考慮到安全性的問題，因此問題並不大，但對於資訊工作人員來說，對設定資安政策之後必須要填許多表單或跑一些流程，總是感到很麻煩，不過在制度化之後，所有的修改程序都可以留下紀錄，如此一來，當發生問題時能夠快速找出問題的來源，責任歸屬也相當明確，對於資訊人員仍是件好事，大家也能夠理解與配合。」TWNIC網域名稱服務組組長李曉陽也表示：「從業務面來看，平時每個人都有一套自己的做事方法，但經過制度化之後，雖然管控更嚴格了，但只要大家都遵守制度，網域註冊資料的管理才不會出現缺失。」TWNIC資深工程師陳玉萱也表示：「ISMS主要是針對制度面來建立，因此只要在日常制度上實行BS7799的規範，當真的出現狀況時，可以有一套有跡可循的方法，能夠減少錯誤與損失，可以協助單位確保服務的完整性，讓服務不中斷。」

從點向面擴展BS7799精神
一般來說，企業導入BS7799通常是從某個單位或部門開始切入，然後再逐漸向外擴散到全公司。建華金控謝持恒表示：「建華銀行剛導入BS7799時是在資訊處的部份，但隨著華信銀行與建華銀行的整併與組織改變，現在已經轉型成金控公司，業務面涵蓋銀行、證券與信用卡，目前ISMS系統已經導入到每個子公司的資訊處，將BS7799的制度與精神的這種安全文化拓展到各個子公司，各個單位在平日便會思考還有哪些安全事項需要注意，會透過討論的過程來尋找出解決的方法。未來這些單位也會以取得驗證做為努力的目標，不過後續的導入計劃並不會透過顧問的輔導而由內部來主導，因為自己最清楚自己要什麼，該摸索過的問題與解決方案都已經有經驗的累積，無論如何，重點還是在安全制度的推動與落實，而非僅是為了取得一張證書。」
當初宏泰人壽主要是以電子商務應用來切入BS7799的導入，但事實上，目前宏泰人壽的網站還沒有進行電子商務服務，主要是以提供資料查詢為主，宏泰人壽林昌儒表示：「目前Web Service部分還沒有線上交易，重點在於服務的不中斷，但目前壽險公會已經在推動一些旅遊意外險等不需要體檢的保單的線上投保，只要電子簽章法、憑證系統建立好，便可以展開線上電子商務的推廣。宏泰人壽目前也努力將資安政策宣導到資訊處以外的部門，雖然還沒有全部被遵守，但至少像是電腦必須設定螢幕保護程式與密碼，密碼也需要定期更新，以及委外人員的管制與保密合約的簽訂等，這幾項規定已經被全面落實。」比較可惜的是宏泰人後的資安最高推動者已經換人，減緩了後續工作的推動速度。
目前TWNIC的BS7799驗證範圍是DNS（Domain Name Server）的註冊管理與域名解析服務這個部份，因為這是TWNIC的核心業務與資產，TWNIC呂愛琴表示：「目前雖然還沒有將驗證範圍擴大的構想，但已經展開可行性的評估，不過事實上BS7799的概念已經推廣到其他的組別上，同仁們都已經具有相當不錯的資訊安全意識。」

過來人的誠心建議
導入BS7799的導入並不是在取得證書的那天便結束，而是才剛剛開始，這不僅是因為驗證單位每半年要進行一次續審，而是因為資安環境不斷在改變，因此主導資安政策的人也必須隨時了解目前的最新變化，並隨時進行因應。建華金控謝持恒表示：「例如當初安裝了門禁控制系統，但是很多同仁並不喜歡使用，尤其是女性同仁，後來經過了解，原來是許多同仁因為美觀的考量，不太喜歡配戴識別門禁卡，在經過思考之後，僅花了很少的經費，將門禁卡的一般吊繩換成較美觀的吊飾之後，佩帶門禁卡的比例就大幅提高。像這類的事情並不需要花很多錢，也不需要高科技，需要的僅是安全管理者的用心與巧思。」謝持恒強調：「導入BS7799並不是照本宣科地直接參照顧問公司的意見，而是要結合產業特性去做調整，甚至對於協力廠商的部份也需要加以要求，才能讓資安工作真正地落實與完善。」
在導入BS7799的過程中，顧問輔導也是導入能否成功的關鍵，宏泰人壽林昌儒表示：「顧問的專業能力與風險評估方法論的良窳是資訊安全管理體系能否成功最重要的關鍵，因而其他組織若想取得BS7799驗證，首要之務是找到有經驗、有能力、有方法的專業顧問公司。」
TWNIC呂愛琴表示：「導入BS7799的確會造成同仁在工作上額外的負擔，在工作上增加了一些規範，雖然表面上會造成一些不便，但只要下定決心要做，只要主管能夠大力支持，同仁也可以認同，在推動時的瓶頸只會出現在作業習慣上改變上，只要有心便一定能夠克服與改善。」

結語
在走訪了這三家通過BS7799驗證超過一年以上的企業單位之後，可以感受到受訪單位對於BS7799驗證制度推行的肯定，並且均能夠抓住BS7799的主要精神，而非僅是為了取得一張證書而做，這是令人相當肯定的部份，但如何將BS7799的驗證範圍進一步擴大，則都還有繼續努力的空間。無論如何，相信這三個單位的資安工作已經有了相當不錯的成效，其寶貴的經驗仍值得有心導入BS7799的單位參考與借鏡。

BS7799導入重點整理—宏泰人壽
導入時間：2003年7月取得證書，過程耗時約一年半
導入範圍：宏泰人壽資訊部
心得分享：顧問的專業能力與風險評估方法論的良窳是資訊安全管理體系能否成功最重要的關鍵，首要之務是找到有經驗、有能力、有方法的專業顧問公司。

BS7799導入重點整理—TWNIC
導入時間：2004年3月取得證書，過程耗時約七個月
導入範圍：宏泰人壽資訊部
心得分享：導入BS7799的確會造成同仁在工作上額外的負擔，雖然表面上會造成一些不便，但只要下定決心要做，只要有心便一定能夠克服與改善。


綜合重點整理
1. 建華銀行會導入BS7799，主要是高階人員體認到安全的重要性，在高層的支持下，定為年度工作目標，推動BS7799的計畫。
2. 環境在變、技術也在進步，有很多資安問題仍在不斷地出現，處理的方法也並非一成不變，關鍵在於做事的方法與態度上的改變，才能做好資安工作。
3. 宏泰人壽導入BS7799，主要是因為高層的支持，希望強化電子商務的服務品質與客戶資料的機密性。
4. 雖然原本公司內部就有一套稽核制度，但結合上BS7799的規範，將使得所有的過程都白紙黑字地留下紀錄，對於責任的釐清與歸屬，將會更為明確。
5. 負責台灣地區網域登記與管理的財團法人台灣網路資訊中心（TWNIC）屬於政府的20個A+級單位，必須優先導入BS7799。
6. 在制度化之後，所有的修改程序都可以留下紀錄，如此一來，當發生問題時能夠快速找出問題的來源，責任歸屬也相當明確。