NII推線上資安學習中心，以ISO 27001為標竿

有鑑於臺灣企業對於資安教育訓練的缺乏，中華民國國家資訊基本建設產業發展協進會（NII）日前推出臺灣第一個資安認知學習中心i—Security，並以簡化後的ISO 27001做為基本標準規範，提供資安評量、線上學習以及線上資安資源分享，期盼能成為企業提供員工進行資安教育訓練的資安入口網站。

根據CompTIA在今年4月進行的跨國研究顯示，有近6成企業資安事件來自人為操作錯誤，其中有實施資安訓練的企業只有36％；而NII去年進行的資安調查也同樣顯示，只有3成的中小企業曾參加資安訓練。NII協進會執行長吳國維表示，如果能透過對員工的資安教育訓練，降低資安事件的比例，對於企業資安的防護將大為提升。

目前許多企業都以ISO 27001的標準，做為企業的安全規範。吳國維說，透過簡化ISO 27001的架構，NII從中挑選出適合臺灣企業實施的6大資安面向、16個安全分類以及72個控制措施，可有效簡化企業執行安全規範的複雜度。

上述6大資安面向，也成為i—Security針對企業進行資安評量的6大面向。針對企業用戶，該評量系統除了提供該企業自我評量的雷達圖外，也會提供產業評量比較雷達圖，作同業比較；另外，透過企業歷次資安評比比較分析表，吳國維認為，這可做為企業資安改善成果的績效指標。

此外，線上資安學習課程，除了提供各種資安案例以及小撇步外，也針對企業主管、資訊人員和一般員工，提供不同的學習課程。預計在第3季，線上學習課程將推出資安檢測系統，也可同時紀錄員工的學習成績。另外，也結合案例報導與分析、法規等，提供電子報給企業用戶，該企業用戶可自行判斷是否可做為內部資安教育訓練教材。

針對NII推動的這項方案，許多IT主管都表支持。一名金融業IT主管表示，他在去年曾經想自行建置一套資安教育訓練系統，不過，資料庫收集太過花錢、花人力，後來案子停擺。他說，這個資安認知學習中心就很適合做為他心目中企業資安的入口網站，等到第3季資安檢測系統上線，以及員工學習成績可被紀錄，未來甚至還可鍵入員工E-mail，透過i—Security轉寄相關資安訊息。也有一位稽核室、負責推動資安事項的中階主管表示，上千名員工的資安訓練最難解決，若NII這個網站服務的功能夠完整，企業將可以直接採用。

i—Security分成企業、個人會員，到2006年底會員都不收費；針對企業會員i—Security另外提供企業資安評量服務。網址：www.i-security.tw。文⊙黃彥棻