我如何取得BS7799認證？宏瞻資訊的經驗分享

文 / 宏瞻資訊安控暨IC卡處協理 張美月


經過國內許多資訊業界的先進與學者專家的大力鼓吹，相信大家對BS7799這樣的一個資訊安全管理標準已不陌生了，BS7799除已獲國際標準組織（ISO）認可成為ISO17799標準外，國內政府單位也以其為基礎，研擬制定國內資訊及通訊安全的規範，希望能利用這樣的機制，建構一個完整且安全的資訊架構，以健全資訊通訊的應用環境，避免不法事件發生，加速應用環境的發展，進而提昇國家整體效率及競爭力。


建置BS7799的源起
宏瞻公司因業務內容與特性，早期由承接IBM研究室國際專案開始，直到提供全國各銀行使用的硬體DES加解密機制，一直都默默地在資訊安全領域裡耕耘。然而，隨著資訊網路環境的日趨精進與複雜，資訊安全的範疇也隨之日益擴大，所面對的挑戰與試煉也愈趨嚴苛。有鑑於此，宏瞻公司本著企業責任與對自我的期許，積極尋找一個機制或系統，期望利用這個系統來檢視自己的資訊環境是否足夠，或是符合一定的安全標準，除可確保自己公司資訊資產的安全，更可以讓我們的客戶安心並信任我們，更進一步宏瞻還可透過自身實際的經驗，有效地協助客戶建置這樣的系統來確保企業資訊資產。




因此，經過多方的探詢、評估與比較，我們選擇了英國標準協會（Bsi）的BS7799這套涵蓋範圍相當完整，且已納入國家及國際公認的標準為典範，開始建置公司的資訊安全管理系統（ISMS）。



建置BS7799的經驗分享
要成功地建置一符合標準的資通訊安全管理系統，除了對標準條文的認知與熟悉之外，還有幾個必要的因素：




1.經營管理階層的認知與全力支援：

由於資訊安全管理系統（ISMS）的建置需要投入人力及時間成本，而且，這樣的管理系統往往橫跨公司許多單位，需要許多的溝通、協調與配合，若非由高階管理階層充分授權與支援，並展現出他們的重視程度，推動起來將會非常困難。




2.資訊安全管理系統建置小組的組成與執行：

成事必須靠人，但因為一般企業大概都不會編置專人來負責這個工作，大都是以任務小組（Task
Force）的方式組織人力；因此如何妥善組成並運用這個小組成員，讓小組成員運作正常並減低對其原有工作所造成的影響與衝擊，而樂意貢獻付出，會是整個建置過程中非常重要的一環。




3.全體員工的共識與配合：

管理系統的建置再完善，若沒有確實的執行與稽核，將會流於形式而空洞化，因此，需要全體員工共同的遵循與配合，再輔以確實的稽核檢討程序，才能讓這樣的系統落實並充分顯現出這套系統的效果；而這也應是建置這樣一個系統的最終目的。




4.取得認證並非最終目的：

系統建置完成若沒有妥善運用與執行，只會流於形式，而一堆文件也只用於檢查及展示的表面目的而已，將失去建置這系統的基本目的與意義。因此，確實執行、認真稽核、持續不斷地檢討與改善，才是維護企業組織資訊資產安全的唯一依靠，也才能確保企業組織的競爭力，維持永續經營的基礎。

建置BS7799的過程
這一次宏瞻在BS7799資訊安全管理系統的建置與認證作業，以符合BS7799全條文127個控制項為目標，不列排除條款地全數引用；而且，以全公司所有部門近300名員工為受評範圍。因此，自獲得公司高層同意並授權決定開始建置這套系統，到接受評核拿到認證的那天開始，宏瞻從無到有地進行規劃，並組織起臨時任務編組的「認證小組」，一起研讀條文、討論研議。同時，因為公司早有許多不同的管理機制或系統，如ISO9001、內稽制度、人事規章、員工手冊....等，這些機制或系統或多或少都有部分條文涵蓋資訊安全管理，為避免雙重標準，並減少對同仁造成困擾，宏瞻重新檢討並整合公司全部既有的控管機制與文件，將原有規定中相關條文一一找出，或補強或整合或修訂，以符合BS7799之要求，訂定一套清楚且完整的管理系統；對宏瞻來說是一大挑戰。




之後，進入整個資訊管理系統建置流程，進行資訊安全政策訂定、全公司的資訊資產清點、分組、風險評估、選擇並建置控管機制以降低風險，接著完成對全體員工的宣導與教育訓練，經過內部稽核與外部預評等一連串緊湊的過程，最後在嚴格的正式受測稽核期間，公司上下所有員工謹慎且有自信地面對受評。令人欣慰的是，在整個受評過程中，主任稽核員幾乎走遍公司每個角落，巨細靡遺一一檢視文件或直接詢問相關人員，而所有受評人員不論是任何階層或部門，都能依職責所在完成受評並通過檢驗。



取得BS7799認證
歷經了一段時間的摸索、研讀、編組、編撰文件、建立制度的一連串煎熬，宏瞻終能在最後獲得主任稽核員「建議發證」的圓滿結果。在獨立完成整個受評及認證後，宏瞻非常樂意與大家分享整個過程的心得與經驗，同時也願意協助客戶建置他們的資通訊安全管理系統。