https://newera17031.activehosted.com/index.php?action=social&chash=0245952ecff55018e2a459517fdb40e3.2287&nosocial=1
https://newera17031.activehosted.com/index.php?action=social&chash=1baff70e2669e8376347efd3a874a341.2327&nosocial=1

觀點

BS7799不再只是遙不可及的期待?

2006 / 02 / 28
王婷儀
BS7799不再只是遙不可及的期待?

既然通過BS7799驗證成為各企業機構重視資安工作的最佳佐證,導入BS7799自然成為一股未來的資安趨勢,但基於每一機關組織都存在不同的問題,勢必得依自身狀況來導入BS7799,至於導入BS7799必須注意哪些重要環節?又需秉持何種心態?且看以下報導。
釐清一些錯誤觀點
企業或政府機構的員工在面對導入BS7799時,通常第一個想法就是又得花費自身許多的時間,往往會產生排斥導入驗證程序的想法,尤其又以政府機關更為明顯;另一問題在於許多廠商和政府機構在導入BS7799驗證都會採以「價格」和「評選」方式競標,由於價格與個人觀感等因素都會讓導入BS7799時產生不小阻礙,衍生問題如同有人會質疑說:「以往導入ISO的經費只要幾十萬,而導入BS7799的費用卻高達數百萬。」其實兩者之間有極大差別,舉例來說,ISO不需做風險評估,也不需與顧問做積極溝通、協調,但這些層面在導入BS7799過程是非常重要的。 為了釐清相關錯誤認知,廠商們必須深切明瞭BS7799本身存在非常複雜的控制項目,諸如「風險評估」和「風險處理」等,不將其處置妥當則威脅永遠存在,也將成為資安工作非常大的缺失,這決非只是拿軟、硬體清單就足以證明廠商重視資安程度,必須透過了解客戶性質、作業流程等來提供適當建議,並逐步更改缺失部分,最後達到公司內、外部整體的資料、人員等控管目標。當然事前認真評估整體的資安工作,也讓每位員工都能將資安工作當成安全的重要環節,如此才能達成部門之間的良好溝通,資安工作自然就能各司其職。

恰當地定義範圍
至於想要順利取得BS7799驗證,「定義專案範圍」也是非常關鍵的因素,其將牽涉範圍包括部門、機房、使用單位和人員等,決不能將驗證範圍做無限制導入;另外,顧問要與客戶之間必須充分進行溝通來選擇適合通過BS7799的控制點,如同主講者一再強調:「導入前必須先評估企業內部究竟有多少資源、人力等,依據各項數據擬定執行範圍才能順利導入BS7799。」因為當真正觸及相關程序時,廠商通常會以沒有資源和人力來做回應,最後只是要求顧問公司接手全部導入事宜,殊不知導入BS7799不是單一人力即可完成,重點反而在於公司內部人員整體的配合,這也將牽涉管理階層和使用者支持與否,最後將嚴重影響資安共識擬定的方向。 其實類似問題早已存在台灣資安體系中,究竟台灣推動驗證的觀念與方式該朝哪一層面進行改善呢?可參考國外廠商在導入BS7799做法,主講者說到:「國外在導入BS7799前普遍存在於企業內部的資安做法,包括以IT部門做為資安工作的核心,其他部門也至少都要派人員參與;其次內部早已建立安全政策和安全組織;另外,會在導入前會由顧問進行為期數日員工資安教育訓練,更會先做好差異分析來評估需投入多少人力與資源等。」這些做法也都是台灣企業普遍欠缺的觀念,因此往往台灣廠商在導入BS7799時都只能從「零」做起。 「人」依然是最不可預知的變數,取得BS7799不能代表自身就不會發生資安事件,只是透過此一安全機制將風險降至最低程度,但通常廠商會因為已經取得BS7799而疏忽資安工作,這也是為何通過BS7799後每半年仍需進行覆審的原因,其實通過BS7799只是保障資安路途的開始。 蒲樹盛重申:「身為顧問角色一定不會只為了業績多寡而存有搶標心態,更不會讓導入廠商隨便就可以取得驗證,這樣的理念就是要讓台灣資安顧問服務的競爭力能追上國際。」