BS7799回顧與省思ISMS是一場美麗的誤會!?

2006 / 11 / 08

王婷儀

第一份完整版BS7799出現在1995年，雖然驗證單位BSi當時即進駐台灣，卻未引起企業太大的關注，在千禧年後，也只看到少數幾家金融單位及外商規劃導入工作，大多數的企業仍興趣缺缺，無法深刻領會BS7799與企業的關係，一部分原因歸咎當時國內e化程度有限，企業對資安的了解及管理認知尚未到位，遑論從荷包掏出一筆為數不小的預算，建置一套效益立竿見影的管理系統。不過，在幾家驗證公司及顧問服務公司用力地推廣下，漸漸引起政府的注意。

隨著政府數位台灣計劃啟動，資訊對國力的重要性日漸抵定，資訊安全與國土安全間等號的關係亦趨於明朗，尤其國外幾起重大資安事件之後，驚覺體認它對國家安全和企業營運造成的重創，除此之外，亞洲先進國家也積極地導入，尤其是日本和印度。光日本就佔總驗證數的60％，穩坐第一名寶座，在日本政府法規面嚴格的要求下，不乏整個企業導入的例子，並願意注挹相當的人力與金錢。隨2003年，行政院研究考核發展委員會依據各級單位業務對國家的影響性劃分ABCD四個等級，要求於規定的時間內，通過BS7799的驗證，此舉開始吸引越來越多人的注意。

金融機關在資安管理上，一向必須接受法律及金管會作業面地嚴格要求，為合乎規範，有越來越多金融企業認同BS7799的管理機制。在政府及知名企業的示範效應下，民間企業對資安的興趣漸濃，幾大依賴IT系統維運的企業也開始導入，全面檢視內部作業的風險，轉眼台灣從2001年的3家到現在已經有破百家單位成功建置這套系統並通過驗證，認證數在全球排名第四。