把IT做好,這是所有資訊部門都知道的責任與追求的目標,但是,IT應該做得多好,卻不容易被知道。尤其是在企業營運高度依賴IT的今日,如果不知道IT該做得多好,往往就會對於營運績效造成影響。為了要辨識IT已經做到什麼程度,以及確認應該做到什麼程度,現今已有許多彙集業界最佳作法的IT標準,能夠協助企業來整備IT實力。

在資訊安全管理方面,最為人熟知與信任的,就是英國標準協會推出的BS 7799資安管理(ISMS)標準,後來被納入ISO 27001國際標準;在IT服務管理方面,則有ISO 20000國際標準可參考。

最近,有另一個新標準值得注意,那是關於企業「持續營運管理(Business Continuity Management)」的標準──BS 25999,由英國標準協會(BSI)彙集了諸多企業持續營運管理的最佳實務而成。

英國標準協會之前訂定的BS 7799資訊安全管理標準,已被奉為資訊安全管理的圭臬,最後被ISO國際標準組織採納,以ISO 27001標準發行;當英國標準協會著手制定能夠協助企業管理風險的「BS 25999持續營運管理標準」時,亦受到高度的關注,據英國標準協會表示,BS 25999可說是歷年來使用者關心程度最高的標準。

了解ISO 27001資安管理標準的人可能會質疑,ISO 27001已經具有鑑別與管理風險的規範與指引,為何還需要BS 25999;另外,也有人會疑問,一般公司大多會擬定災難應變計畫,還需要持續營運管理標準嗎?

為何還需要BS 25999營運持續管理標準呢?讓我們來看看群益證券的例子。群益證券是臺灣證券業的資安模範生,早在2006年就領先同業取得臺灣證券業第一張ISO 27001資訊安全管理認證。能通過ISO 27001的驗證,代表群益證券的資訊安全管理經得起考驗,可以提供值得客戶放心的電子交易平臺。

不過,群益證券認為這樣還不夠,因為ISO 27001是從資安的角度考量風險,涵蓋面向以資訊應用系統為主,群益證券執行副總裁暨資訊部主管賈中道說:「整體來說還不夠廣泛,要確保各個層面都考量到。」於是,群益證券一拿到ISO 27001後,才隔一個月就開始投入營運持續管理計畫。

群益證券以ISO 27001所成立的資安管理委員會為基礎,繼續由總經理帶頭推動營運持續管理計畫,截至目前為止,群益證券已經舉辦過6次營運持續管理的演練,但是,群益證券認為這樣還不夠,他們正打算再取得BS 25999認證。

為什麼還需要拿BS 25999認證,這正是為了確定應該做到什麼程度。賈中道直接了當地說明為什麼還要BS 25999:「取經國際標準,建立更周全的BCM機制。」因為自己所了解的可能不夠周延,甚至有可能出現始終想不到的盲點。例如,BS 25999的5.4.2.3這一則有說明需要建立媒體回應策略,在危及公司營運的事件爆發後,可以在第一時間立即透過媒體對外溝通說明,降低對於公司聲譽的影響;從條文敘述來看,這個道理很容易理解,但平時自己要做BCM時,卻可能忽略了對外溝通這個環節。現在,不只群益證券這麼做,泰安產險、精誠資訊,以及高科技製造業也這麼做,請見本期封面故事的報導。

專欄作者

熱門新聞

Advertisement