https://ad.doubleclick.net/ddm/trackclk/N1114924.376585INFORMATIONSECURI/B26202047.309881952;dc_trk_aid=502706469;dc_trk_cid=155369661;dc_lat=;dc_rdid=;tag_for_child_directed_treatment=;tfua=;ltd=
https://ad.doubleclick.net/ddm/trackclk/N1114924.376585INFORMATIONSECURI/B26202047.309881952;dc_trk_aid=502706469;dc_trk_cid=155369661;dc_lat=;dc_rdid=;tag_for_child_directed_treatment=;tfua=;ltd=

觀點

我如何取得BS7799認證?宏瞻資訊的經驗分享

2002 / 07 / 05
我如何取得BS7799認證?宏瞻資訊的經驗分享

文 / 宏瞻資訊安控暨IC卡處協理 張美月


經過國內許多資訊業界的先進與學者專家的大力鼓吹,相信大家對BS7799這樣的一個資訊安全管理標準已不陌生了,BS7799除已獲國際標準組織(ISO)認可成為ISO17799標準外,國內政府單位也以其為基礎,研擬制定國內資訊及通訊安全的規範,希望能利用這樣的機制,建構一個完整且安全的資訊架構,以健全資訊通訊的應用環境,避免不法事件發生,加速應用環境的發展,進而提昇國家整體效率及競爭力。


建置BS7799的源起
宏瞻公司因業務內容與特性,早期由承接IBM研究室國際專案開始,直到提供全國各銀行使用的硬體DES加解密機制,一直都默默地在資訊安全領域裡耕耘。然而,隨著資訊網路環境的日趨精進與複雜,資訊安全的範疇也隨之日益擴大,所面對的挑戰與試煉也愈趨嚴苛。有鑑於此,宏瞻公司本著企業責任與對自我的期許,積極尋找一個機制或系統,期望利用這個系統來檢視自己的資訊環境是否足夠,或是符合一定的安全標準,除可確保自己公司資訊資產的安全,更可以讓我們的客戶安心並信任我們,更進一步宏瞻還可透過自身實際的經驗,有效地協助客戶建置這樣的系統來確保企業資訊資產。




因此,經過多方的探詢、評估與比較,我們選擇了英國標準協會(Bsi)的BS7799這套涵蓋範圍相當完整,且已納入國家及國際公認的標準為典範,開始建置公司的資訊安全管理系統(ISMS)。



建置BS7799的經驗分享
要成功地建置一符合標準的資通訊安全管理系統,除了對標準條文的認知與熟悉之外,還有幾個必要的因素:




1.經營管理階層的認知與全力支援:

由於資訊安全管理系統(ISMS)的建置需要投入人力及時間成本,而且,這樣的管理系統往往橫跨公司許多單位,需要許多的溝通、協調與配合,若非由高階管理階層充分授權與支援,並展現出他們的重視程度,推動起來將會非常困難。




2.資訊安全管理系統建置小組的組成與執行:

成事必須靠人,但因為一般企業大概都不會編置專人來負責這個工作,大都是以任務小組(Task
Force)的方式組織人力;因此如何妥善組成並運用這個小組成員,讓小組成員運作正常並減低對其原有工作所造成的影響與衝擊,而樂意貢獻付出,會是整個建置過程中非常重要的一環。




3.全體員工的共識與配合:

管理系統的建置再完善,若沒有確實的執行與稽核,將會流於形式而空洞化,因此,需要全體員工共同的遵循與配合,再輔以確實的稽核檢討程序,才能讓這樣的系統落實並充分顯現出這套系統的效果;而這也應是建置這樣一個系統的最終目的。




4.取得認證並非最終目的:

系統建置完成若沒有妥善運用與執行,只會流於形式,而一堆文件也只用於檢查及展示的表面目的而已,將失去建置這系統的基本目的與意義。因此,確實執行、認真稽核、持續不斷地檢討與改善,才是維護企業組織資訊資產安全的唯一依靠,也才能確保企業組織的競爭力,維持永續經營的基礎。

建置BS7799的過程
這一次宏瞻在BS7799資訊安全管理系統的建置與認證作業,以符合BS7799全條文127個控制項為目標,不列排除條款地全數引用;而且,以全公司所有部門近300名員工為受評範圍。因此,自獲得公司高層同意並授權決定開始建置這套系統,到接受評核拿到認證的那天開始,宏瞻從無到有地進行規劃,並組織起臨時任務編組的「認證小組」,一起研讀條文、討論研議。同時,因為公司早有許多不同的管理機制或系統,如ISO9001、內稽制度、人事規章、員工手冊....等,這些機制或系統或多或少都有部分條文涵蓋資訊安全管理,為避免雙重標準,並減少對同仁造成困擾,宏瞻重新檢討並整合公司全部既有的控管機制與文件,將原有規定中相關條文一一找出,或補強或整合或修訂,以符合BS7799之要求,訂定一套清楚且完整的管理系統;對宏瞻來說是一大挑戰。




之後,進入整個資訊管理系統建置流程,進行資訊安全政策訂定、全公司的資訊資產清點、分組、風險評估、選擇並建置控管機制以降低風險,接著完成對全體員工的宣導與教育訓練,經過內部稽核與外部預評等一連串緊湊的過程,最後在嚴格的正式受測稽核期間,公司上下所有員工謹慎且有自信地面對受評。令人欣慰的是,在整個受評過程中,主任稽核員幾乎走遍公司每個角落,巨細靡遺一一檢視文件或直接詢問相關人員,而所有受評人員不論是任何階層或部門,都能依職責所在完成受評並通過檢驗。



取得BS7799認證
歷經了一段時間的摸索、研讀、編組、編撰文件、建立制度的一連串煎熬,宏瞻終能在最後獲得主任稽核員「建議發證」的圓滿結果。在獨立完成整個受評及認證後,宏瞻非常樂意與大家分享整個過程的心得與經驗,同時也願意協助客戶建置他們的資通訊安全管理系統。