BS7799不再只是遙不可及的期待？

既然通過BS7799驗證成為各企業機構重視資安工作的最佳佐證，導入BS7799自然成為一股未來的資安趨勢，但基於每一機關組織都存在不同的問題，勢必得依自身狀況來導入BS7799，至於導入BS7799必須注意哪些重要環節？又需秉持何種心態？且看以下報導。
釐清一些錯誤觀點
企業或政府機構的員工在面對導入BS7799時，通常第一個想法就是又得花費自身許多的時間，往往會產生排斥導入驗證程序的想法，尤其又以政府機關更為明顯；另一問題在於許多廠商和政府機構在導入BS7799驗證都會採以「價格」和「評選」方式競標，由於價格與個人觀感等因素都會讓導入BS7799時產生不小阻礙，衍生問題如同有人會質疑說：「以往導入ISO的經費只要幾十萬，而導入BS7799的費用卻高達數百萬。」其實兩者之間有極大差別，舉例來說，ISO不需做風險評估，也不需與顧問做積極溝通、協調，但這些層面在導入BS7799過程是非常重要的。 為了釐清相關錯誤認知，廠商們必須深切明瞭BS7799本身存在非常複雜的控制項目，諸如「風險評估」和「風險處理」等，不將其處置妥當則威脅永遠存在，也將成為資安工作非常大的缺失，這決非只是拿軟、硬體清單就足以證明廠商重視資安程度，必須透過了解客戶性質、作業流程等來提供適當建議，並逐步更改缺失部分，最後達到公司內、外部整體的資料、人員等控管目標。當然事前認真評估整體的資安工作，也讓每位員工都能將資安工作當成安全的重要環節，如此才能達成部門之間的良好溝通，資安工作自然就能各司其職。

恰當地定義範圍
至於想要順利取得BS7799驗證，「定義專案範圍」也是非常關鍵的因素，其將牽涉範圍包括部門、機房、使用單位和人員等，決不能將驗證範圍做無限制導入；另外，顧問要與客戶之間必須充分進行溝通來選擇適合通過BS7799的控制點，如同主講者一再強調：「導入前必須先評估企業內部究竟有多少資源、人力等，依據各項數據擬定執行範圍才能順利導入BS7799。」因為當真正觸及相關程序時，廠商通常會以沒有資源和人力來做回應，最後只是要求顧問公司接手全部導入事宜，殊不知導入BS7799不是單一人力即可完成，重點反而在於公司內部人員整體的配合，這也將牽涉管理階層和使用者支持與否，最後將嚴重影響資安共識擬定的方向。 其實類似問題早已存在台灣資安體系中，究竟台灣推動驗證的觀念與方式該朝哪一層面進行改善呢？可參考國外廠商在導入BS7799做法，主講者說到：「國外在導入BS7799前普遍存在於企業內部的資安做法，包括以IT部門做為資安工作的核心，其他部門也至少都要派人員參與；其次內部早已建立安全政策和安全組織；另外，會在導入前會由顧問進行為期數日員工資安教育訓練，更會先做好差異分析來評估需投入多少人力與資源等。」這些做法也都是台灣企業普遍欠缺的觀念，因此往往台灣廠商在導入BS7799時都只能從「零」做起。 「人」依然是最不可預知的變數，取得BS7799不能代表自身就不會發生資安事件，只是透過此一安全機制將風險降至最低程度，但通常廠商會因為已經取得BS7799而疏忽資安工作，這也是為何通過BS7799後每半年仍需進行覆審的原因，其實通過BS7799只是保障資安路途的開始。 蒲樹盛重申：「身為顧問角色一定不會只為了業績多寡而存有搶標心態，更不會讓導入廠商隨便就可以取得驗證，這樣的理念就是要讓台灣資安顧問服務的競爭力能追上國際。」