安侯建業同時取得ISO 20000與27001認證

為了降低風險、提升IT專案服務品質，安侯企管（KPMG）採取同時導入ISO 20000（IT管理）以及ISO 27001（資訊安全）國際認證，並在日前宣布取得兩項認證，不僅成為臺灣第一家取得ISO 20000認證的諮詢服務公司，亦是少數同時取得兩個國際標準認證的企業。

安侯此次經由SGS（臺灣檢驗科技）稽核而取得認證，是安侯有史以來第一次成為被稽核單位。雖然這次認證的範圍，只有資訊科技諮詢服務（IT Advisory Services）這一個單位，安侯企管執行副總張允洸指出，這個單位占安侯營業項目的四分之一，預計未來認證的範圍可望擴展到其他事業單位。安侯建業執行董事林寶珠表示，未來不排除進一步納入其他的安全驗證標準，例如BS 25999。

仍需微調10%才能拿得到認證
張允洸指出，安侯在2007年6月開始評估同時導入ISO 20000以及ISO 27001的可行性，雖然安侯之前已經擁有豐富的企業諮詢與輔導經驗，而且自身亦有一套符合全球規範的完整內稽內控，但仍需花費半年時間才取得認證。張允洸說：「這次為了符合ISO 20000與ISO 27001國際標準，安侯大約有10％的微幅調整。」

安侯企管資訊科技諮詢服務協理林義富表示：「這10％的差異主要是將原本安侯內稽、內控的作法、流程，轉變成符合第3方驗證標準的框架。」

他指出，以如何定義事件管理中的「事件」為例，安侯內部就有不同的定義和說法，Event與Accident的用法都有，但透過ISO 20000的管理框架，給予完整的定義與說法，就能解決內部定義說法不一的問題，他說：「這種一致性和標準化的過程，就是安侯花費最大心力的地方。」

安侯原本就強調與客戶之間的連結，但ISO 20000除了要求了解客戶需求、做結案報告、調查客戶滿意度之外，更重視藉由收集更多客戶的需求，以提供客戶更多未來所需的服務。

林義富表示：「安侯因而做了部分的組織調整，除了每個專案原本就有的專案經理外，再設立一個專責的客戶服務經理。客戶對於專案執行有任何問題，都可以透過此一單一窗口，獲得最佳的溝通。」

IT系統方面比較大的改變，則是把原本分散的各個系統，諸如：顧問排程以及可用時間管理等，以CMDB（組態管理資料庫）的概念，把分散在各處的系統資源統整，終端並以企業入口網站（Portal）呈現，藉以因應ISO 20000的要求。

安侯原本就有一套完整符合全球規範的內稽、內控機制，對於資料保密更列為第一優先。若從ISO 27001對於IT風險評鑑、分類的控制點的觀點來看，安侯需將現有的服務與內容作風險評鑑、機密等級分類，包括預防與矯正措施在內。

因為安侯同時服務多個客戶，林義富指出，對於安侯而言，所提供的各種IT服務和客戶資料都具有高度機密性，除了依照ISO 27001框架對機密內容作不同分類外，許多專案、客戶管理資料在進入安侯的知識管理系統之後，也有嚴密的身分控管，林義富說：「不是每一個人都可以存取所有的客戶資料。」

這種對於客戶專案資料保存，文件的銷毀，甚至是內部人員身分確認和存取控管嚴格的身分控管措施，就是在ISO 27001框架下落實在安侯的權限控管措施中。林義富表示：「一般而言，IT服務的品質比較容易量化，客戶比較容易感受得到，但資訊安全的保護上，一般難以感受或量化，藉由第3方驗證標準才有一個可衡量的指標。」

同時導入ISO 20000與ISO 27001的好處
張允洸表示，ISO 27001是一套完整的資安安全管理機制，然而ISO 20000的IT服務管理中也有資訊安全的規範，不論導入時間的先後，兩者都有整合上的困難。他說：「為了畢其功於一役，安侯決定同時導入ISO 20000與ISO 27001。」

同時導入的好處之一就是解決表單整合的問題，張允洸指出，就電腦中毒而言，ISO 27001詳細規範組織、程序、通報、升級處理等流程與作法，然而ISO 20000則偏重在記錄及分析事件，以降低再度發生機率。他說：「表單若能整合成單一表格，可以降低未來維運人員的負擔。」

再者，年度性的管審會議也能整合。林義富表示：「若兩套管理制度不能整合，就會面臨到ISO 20000開了一次管審會議，然而資安事件發生後，又得依照ISO 27001的規範，另外再開一次管審會議。」他說：「若以範圍較大的ISO 20000作為最大的管理框架，對於資安事件管控再加上ISO 27001的管理深度，就可以兼顧降低風險，又可以達到提升績效。」

負責此次驗證稽核的SGS全球產品經理呂敏誠表示，全球同時取得ISO 20000和ISO 27001的案例並不多，安侯可以在半年內完成2個驗證稽核，與其自身原本就有很嚴謹的制度規範要求以及擁有相關專業人員有關。他認為，安侯高層的支持與投入亦是重要的關鍵，「高層的支持若只是虛應故事，不給人、不給錢也不投入，是不可能取得認證的。」

呂敏誠指出，要同時導入2個管理認證制度並不是件容易的工作，要選擇好的顧問，才能夠達事半功倍。他認為，好的顧問不僅要有豐富的實務經驗，也必須跟公司高層保持良好的溝通，甚至得為了改變流程，而扮演黑臉。

他指出，目前臺灣的企業以導入ISO 27001居多，但由於認證範圍較小，屆時要再導入ISO 20000時，將會面臨ISO 27001認證範圍增加的挑戰。文⊙黃彥棻、楊惠芬