相較於日本通過ISO 27001資安認證的一千多家民間企業,其中有許多是以組織全體各部門為驗證範圍,通過並取得ISO 27001的資安驗證。臺灣雖然在取得資安認證的數量上,是全球第四位(僅次於日本、南韓、印度),但取得認證的單位除以政府部門為大宗外,多數通過驗證的範圍,絕大多數又都以組織內的資訊部門為主。臺灣先前只有財金公司、宏瞻資訊以及入出境管理局,以組織全體各部門為資安認證範圍外,隸屬財團法人性質的臺灣票據交換所則於6月正式取得ISO 27001資安認證,成為臺灣第四家以全公司為認證範圍,通過資安認證的組織。

臺灣票據交換所主任委員白輝雄表示,票交所並不是在主管機關強迫,或是法令強制規範下而「必須」取得資安認證的單位。他繼之指出,「票交所希望透過一套更嚴謹的資安規範,讓從1989年就開始實行的標準作業規範(SOP),能有更完善的準則以供遵行。」

而ISO 27001資安認證總共分成11領域(Domain)、39個控制目標以及133個控制要點。負責提供顧問服務的宏瞻資訊總經理劉以德表示,「票據交換所在導入資安認證時,適用133個控制要點,沒有一項條款被排除。」

票據交換所很早就依賴大量資訊系統提供相關資訊服務,並已自行訂定出標準作業程序,「但在資訊安全上面,因為沒有一個可供參考的、公開的資安標準,以致於在一些業務的爭取上,票據交換所顯得較為弱勢,」白輝雄說。因此,在董事會的支持下,票據交換所自2006年5月開始,花費了11個月的時間導入ISO 27001資安認證。他也說,「與一些銀行單位最大的不同點在於,票據交換所認證範圍囊括組織各部門。」

白輝雄進一步解釋,票據交換所主要的業務是負責實體支票的交換業務和票據信用查詢外,也提供電子化的支付系統,包括電子票據(eCheck)與媒體交換自動轉帳(ACH)等業務。

他指出,若以票據交換所的業務分工,加上業務輪調頻繁,每一個人至少負責兩項以上的業務,也就是說,整個組織每一個人,都會輪調或負責到票據處理相關事宜。因為票據交換涉及到資料的安全性與正確性,白輝雄說,「以組織全體作為認證範圍,是最安全、有效的認證措施。」

劉以德說,票據交換所在高階主管的支持以及以身作則之下,每一個主管該上的課,沒有一個蹺課的;上行下效的情況下,整體導入的效率與共識也相當的高。他認為,這對於以組織全體為認證範圍的認證單位而言,更是一項強而有力的助益。

白輝雄則認為,「改變全體同仁對資安的認知、強化並落實實體安全,」是導入ISO 27001前、後最大的差異。例如,票交所1樓原本有一個供下班後出入的側門,導入資安認證後,為了落實實體安全,這個側門的出入更嚴格管控外,並加上了監視系統。

票交所資訊室主任林占山表示,「80%的業務都依賴IT提供服務,」此次透過資安認證的導入,不僅提高整個組織對資安的警覺性,在共通的標準下作業,更可以達到「減少誤會、更容易改善觀念與溝通,以及促進團結等目標。」更重要的是,他認為,「所有的部門與職權在分工與制衡上,更有一定的標準,」讓以往偶爾會出現球員兼裁判的狀況,減少到最低。文⊙黃彥棻

熱門新聞

Advertisement