歡迎登入資安人
若您還不是會員,請點選下方加入會員
忘記密碼
加入資安人會員
登入
新聞
觀點
專題
解決方案
活動
訂閱電子報
資安人粉絲團
聯絡我們
關於我們
合作詢問
隱私權政策
香港商法蘭克福展覽有限公司台灣傳媒分公司
110 台北市信義區市民大道六段288號8F
886-2-8729-1099
新聞
觀點
專題
解決方案
活動
訂閱電子報
登入
登入
訂閱電子報
新聞
觀點
專題
解決方案
活動
觀點
您現在位置 : 首頁 >
觀點
BS7799不再只是遙不可及的期待?
2006 / 02 / 28
王婷儀
既然通過BS7799驗證成為各企業機構重視資安工作的最佳佐證,導入BS7799自然成為一股未來的資安趨勢,但基於每一機關組織都存在不同的問題,勢必得依自身狀況來導入BS7799,至於導入BS7799必須注意哪些重要環節?又需秉持何種心態?且看以下報導。
釐清一些錯誤觀點
企業或政府機構的員工在面對導入BS7799時,通常第一個想法就是又得花費自身許多的時間,往往會產生排斥導入驗證程序的想法,尤其又以政府機關更為明顯;另一問題在於許多廠商和政府機構在導入BS7799驗證都會採以「價格」和「評選」方式競標,由於價格與個人觀感等因素都會讓導入BS7799時產生不小阻礙,衍生問題如同有人會質疑說:「以往導入ISO的經費只要幾十萬,而導入BS7799的費用卻高達數百萬。」其實兩者之間有極大差別,舉例來說,ISO不需做風險評估,也不需與顧問做積極溝通、協調,但這些層面在導入BS7799過程是非常重要的。 為了釐清相關錯誤認知,廠商們必須深切明瞭BS7799本身存在非常複雜的控制項目,諸如「風險評估」和「風險處理」等,不將其處置妥當則威脅永遠存在,也將成為資安工作非常大的缺失,這決非只是拿軟、硬體清單就足以證明廠商重視資安程度,必須透過了解客戶性質、作業流程等來提供適當建議,並逐步更改缺失部分,最後達到公司內、外部整體的資料、人員等控管目標。當然事前認真評估整體的資安工作,也讓每位員工都能將資安工作當成安全的重要環節,如此才能達成部門之間的良好溝通,資安工作自然就能各司其職。
恰當地定義範圍
至於想要順利取得BS7799驗證,「定義專案範圍」也是非常關鍵的因素,其將牽涉範圍包括部門、機房、使用單位和人員等,決不能將驗證範圍做無限制導入;另外,顧問要與客戶之間必須充分進行溝通來選擇適合通過BS7799的控制點,如同主講者一再強調:「導入前必須先評估企業內部究竟有多少資源、人力等,依據各項數據擬定執行範圍才能順利導入BS7799。」因為當真正觸及相關程序時,廠商通常會以沒有資源和人力來做回應,最後只是要求顧問公司接手全部導入事宜,殊不知導入BS7799不是單一人力即可完成,重點反而在於公司內部人員整體的配合,這也將牽涉管理階層和使用者支持與否,最後將嚴重影響資安共識擬定的方向。 其實類似問題早已存在台灣資安體系中,究竟台灣推動驗證的觀念與方式該朝哪一層面進行改善呢?可參考國外廠商在導入BS7799做法,主講者說到:「國外在導入BS7799前普遍存在於企業內部的資安做法,包括以IT部門做為資安工作的核心,其他部門也至少都要派人員參與;其次內部早已建立安全政策和安全組織;另外,會在導入前會由顧問進行為期數日員工資安教育訓練,更會先做好差異分析來評估需投入多少人力與資源等。」這些做法也都是台灣企業普遍欠缺的觀念,因此往往台灣廠商在導入BS7799時都只能從「零」做起。 「人」依然是最不可預知的變數,取得BS7799不能代表自身就不會發生資安事件,只是透過此一安全機制將風險降至最低程度,但通常廠商會因為已經取得BS7799而疏忽資安工作,這也是為何通過BS7799後每半年仍需進行覆審的原因,其實通過BS7799只是保障資安路途的開始。 蒲樹盛重申:「身為顧問角色一定不會只為了業績多寡而存有搶標心態,更不會讓導入廠商隨便就可以取得驗證,這樣的理念就是要讓台灣資安顧問服務的競爭力能追上國際。」
BS7799
ISMS
資誠
最新活動
2025.05.23
2025 雲端資安趨勢論壇
2025.04.30
免費【資安人才培育計畫說明講座】 資安顧問師 與 資安維運工程師 的職能發展與養成
2025.05.14
OpenText+精誠資訊【AI x DevOps打造高效敏捷團隊,提升軟體交付速度!|成功企業案例分享】
2025.05.16
資安媒合交流系列活動
看更多活動
大家都在看
MITRE ATT&CK 發布17.0版,新增 ESXi 攻擊戰術技術與程序
SSL.com 驗證漏洞:攻擊者可輕易取得重要網域憑證
國家級駭客瞄準中小企業 供應鏈成新戰場
中國駭客組織 Billbug瞄準東南亞:全新工具發動精密網路間諜戰
新型Android惡意程式 使用NFC中繼攻擊竊取信用卡資料
資安人科技網
文章推薦
Sophos:「數位殘餘」讓企業暴露於網路邊緣設備攻擊風險中
SAP NetWeaver關鍵漏洞遭駭客利用植入惡意網頁命令執行介面
資安格局重塑:Mandiant 揭露2025年五大關鍵網路威脅