資訊化帶來企業透明化 臺灣BSI更易落實國際標準

因應新版個資法的熱潮，許多金融業者紛紛導入BS 10012個資保護認證，作為企業落實個資保護的管理制度，不只如此，企業熟知的資安認證ISO 27001前身是BS 7799，而企業營運持續認證ISO 22301前身則是BS 25999，這些以BS開頭命名的規範，其實都是英國標準協會（British Standard Institute）制定的標準。

英國標準協會自1901年成立以來，迄今已經超過百年，是一個制定標準、提供產品測和驗證服務的國際組織，也是一家企業。為了要說服外界，BSI所制定的各種國際標準規範的效力，臺灣BSI驗證部協理兼任IT部門主管謝君豪表示，近年來，英國總部規定，全球各地分公司都必須導入所有可以導入的管理系統，包括提供標準販售與驗證服務，也都透過一套透明的工作流程（Workflow），檢視每個環節是否有合乎英國總部與各國法規的規定。

BSI是英國國家標準制定單位，所以該公司執行長Howard Kerr非常重視法規遵循、組織治理和資訊治理等相關議題。由於，過去幾年BSI的重要使命就是制定國際標準和推動國際標準，如何確保這些標準是被企業信賴的，CEO要求全球各分公司都必須要積極展現。

國際標準其實是一種框架和典範，匯集眾人與產業的智慧結晶，透過一套完整的制度循環，落實相關的管理機制。許多企業則為了讓自己可以再提升，會尋找適合的國際標準並開始導入企業內部，進一步落實在企業的各項流程。

但驗證公司要如何說服企業導入自己訂定的標準？第一個方式就是以身作則。BSI這幾年把標準用在自己身上，對自己和客戶是好的。BSI在提供驗證服務的過程中，自己就是最好的示範。

以身作則，導入各種能導入的國際標準

謝君豪指出，過去幾年以來，總部已經陸續要求包括臺灣分公司在內的全球分公司，都必須導入各種可以導入的管理系統，包括ISO 9000、ISO 14001、ISO 18001、ISO 27001、ISO 22301等。他說，從整個服務提供流程、標準和產品服務提供、產品驗證、標準販售等，都有一套正規的標準化作為；至於英國總公司則為了要滿足全球各分公司及員工的需求，資訊部門則導入ISO 20000及ITIL這個IT服務管理機制。

BSI的使命是「制定國際標準」，如何確保該公司所制定標準是可被信賴的，BSI本身也必須以身作則，對外證明這樣的一套管理制度是可以達到導入標準的預期目的。因此，BSI的作法是透過集中化控管方式，由總部制定相關的IT政策與準則，進一步由亞太區到各地分公司逐步落實相關的規範。

舉例來說，BSI在每個國家的分公司都必須撰寫自己的企業持續營運計畫（BCP），但為了避免各地分公司在思考企業持續營運時，只是一種虛應故事，為了避免情境不夠逼真，所有的情境都由總部制定。

像BSI總部曾制定過這樣的情境，臺灣BSI人員大量離職時，應該如何維持企業的運作模式？又如果，臺灣BSI分公司辦公室，因為天災人禍，導致員工無法存取既有的系統時，應該如何應變？

謝君豪說，臺灣分公司因應的其中作法是，由總部集中式管理，再加上逼真的情境模擬，迫使自己思考各種可能的應變措施；透過定期演練，讓BSI內部能真實面對不同的企業持續營運問題。

追求卓越，要做到營運資訊透明化

之前BSI的使命是將標準推廣到全世界，到2012年則是「讓卓越成為習慣」，為了達成這個目的，謝君豪說，這意味著企業內部營運和各種資訊分析，都必須更透明、更即時、更正確。因此，BSI總部會透過各種法規稽核方式，以治理面的角度來看，BSI分公司業務和管理實施是否遵循相關要求。

讓卓越成為習慣，對所有的員工都是一股很大的成長壓力。謝君豪認為，當執行長說要實現什麼樣的目標時，員工就得實現這個目標，所有資訊化作為都要聚焦於執行長的目標，各地分公司辦公室也成立了卓越部門，每個部門內都指派卓越種子代表。

「這是一種質變，」謝君豪說，要達到卓越的目的，就必須從各種策略目標、品質、績效、人員發展等同步改變。但企業營運流程得高度依賴各種IT系統，相關的IT配套系統也必須跟上，提供所有營運資訊的透明化，並提供足夠的資訊與服務，藉此符合各項內控和法規的要求。

不過，要達到營運流程所有的資訊都透明化，並非一蹴可及，BSI的資訊部門為了要服務全球各地分公司和員工，在5年多前，導入ITIL及IT服務管理認證ISO 20000。

很多組織遇到問題，質疑先有工具還是先流程標準化？謝君豪認為，BSI的答案是「流程標準化」，因為標準化之後才能e化。

如原本紙本作業無法達到績效，但是統一了紙本作業並建立表單e化後，卻可以發揮長足的績效，不論是想知道發證時效性、稽核員是否開出不符合事項的矯正清單、或者是沒有依照規定要求客戶提出矯正預防措施，以及某些必須在時效內完成相關作業，透過自動化流程則不再出錯。

謝君豪說，BSI資訊部門自己導入國際認證，雖然沒有其他稽核員做驗證，但這幾年下來，全球都陸續成立相關的服務臺（Helpdesk），遇到像如何做事件管理、如何定回應時間及解決時間，如何展現服務品質，還是重視使用者滿意度、系統可用性和需求滿意度等。都可以從BSI自己導入的ITIL及ISO 20000中，回頭驗證企業的IT服務流程時的不足之處。

對內部員工、外部客戶，提供不同IT服務

謝君豪說，總部資訊部門導入ITIL和ISO 20000後，相關的IT政策都由總部集中控管，亞太區的IT總部在香港，包含各種IT系統，也都一律由總部建置完成後，再部署到各地分公司。因為許多IT專案都由總部啟動，在嚴格法規遵循的前提下，各地分公司的作業流程都必須做到標準化，基本上，並不允許太多的客製化。

對於BSI而言，IT策略可以分成對內和對外兩種不同的策略模式。謝君豪指出，以對內部提供IT服務的策略來看，要確保BSI提供的資訊服務，透過導入ITIL及ISO 20000作為對內提供IT服務的標準，不僅要具體訂定出服務品質的要求，包含IT服務績效、效能及相關功能上，都要可以滿足總部及各地辦公室需求，也必需提供更即時回應服務。

對外部客戶，BSI提供產品標準販售及服務驗證，也經常要做很多e化專案建置。謝君豪表示，所有的標準驗證流程，都透過e化流程串接每一個業務環節，從業務銷售部門同仁接單開始，就先進入客戶關係管理系統，相關資訊再流進SAP ERP系統，然後進入客戶評估相關的Workflow評估系統，藉此多重資訊交叉確認與分析，可以強化正確性、提升反應速度。他認為，更重要是，BSI可以透過e化過程，設定很多監控指標，藉此檢查有無違反相關驗證與稽核服務流程的規定。

謝君豪說：「不管是驗證或是定期稽核的客戶，相關的資訊全部都先輸入電子稽核報告系統後，再產出相關的驗證或稽核報告。」在這個過程中，驗證或稽核結果，以及對客戶的回饋等資訊，都會先輸入該系統，等到案件執行完畢後，再按照正規流程上傳歸檔。

透過系統的分析，BSI可以馬上鑑別該項驗證或稽核的服務流程，是否已經違反當地主管機關或者是總部的規定，例如，針對客戶不符合事項的陳述方式有沒有問題？有沒有在規定的時限內，遞交報告？稽核員是否具備足夠的資格？BSI在沒有導入Workflow評估系統之前，最擔心分派稽核工作的同仁，指派沒有稽核資格的稽核員負責稽核，將可能導致該次的稽核無效、也違反內控規定。

因為BSI本身有很多的內控機制，加上各國法令法規有不同規範，所有客戶驗證或稽核資訊，透過輸入這套Workflow評估系統串接分析後的資訊，就可以交叉分析得知，是否有違反相關的規定；也要做到，把IT提供服務品質和營運績效做連結，在意員工的滿意度、系統的效能和功能是否滿意。

這幾年下來，資訊部門針對全球員工提供的IT服務，都面臨很大的壓力，不能慢、不能斷、不能有問題，讓包括總部與分公司的IT部門人員，對於各種IT服務流程的提供與串接，都抱持著戒慎恐懼的態度。謝君豪認為，只有透過流程自動化，可以有效分析各個辦公室的實際營運狀況；當自動化機制建立後，下一步就可以做資料採礦，分析客戶對BSI的服務滿意度、產品信任度，及分析BSI內控符合程度，來幫助於公司營運面向的調整。

用平凡的方法做資安最有效

臺灣BSI驗證部協理兼任IT部門主管謝君豪表示，他平常不僅是資安認證ISO 27001的講師，也是該資安認證的稽核員。歷經過上百間公司ISO 27001的驗證與稽核經驗，他認為，有時候，最平凡的作法其實是最有效的作法。

他以竹科一間有30萬名工廠員工的高科技公司為例，一般進出該公司時，不僅接待人員要全程陪同，手機必須先放置在置物櫃中，筆記型電腦為了避免不必要的連線與接觸，該公司選擇使用易碎貼紙，作為筆記型電腦的通訊埠封口材料。剛開始稽核時，謝君豪說，為何該高科技公司不採用鎖IP等比較先進的方法，對方IT主管只說，面對一間有30萬名員工出入的廠區，實體的易碎貼紙比鎖IP等方式更為實用有效。

不只如此，謝君豪在對一間澳洲公司做資安驗證時，他對於該公司四處張貼的海報感到印象深刻。隨時隨地都可以看到，張貼專門負責資安事件及其他安全事件的負責人照片，上面有姓名及各種聯絡方式，提醒所有員工「平平安安出門、順順利利回家」才是最大的幸福。這種潛移默化的提醒，讓他快速記住資安負責人，成效顯著。

臺灣BSI驗證部協理兼任IT主管謝君豪表示，總部IT部門透過導入ISO 20000，提供全球員工一致性的IT服務，驗證標準的有效性。

CIO小檔案

臺灣BSI驗證部協理兼任IT部門主管　謝君豪

學經歷：曾經擔任過傳統製造業IT部門工程師、專案負責人及部門主管，在美國取得美國加州州立大學資管系碩士學位後，曾經擔任企業的資安專案經理，於2002年回臺灣後，任職於BSI，先後擔任IT部門主管、稽核員、資安管理系統客戶經理、ISO 20000/27000產品經理、驗證部協理並兼任IT部門主管一職

公司檔案

英國標準協會（BSI）臺灣分公司

● 地址：臺北市內湖區基湖路39號5樓
● 成立時間：總部1901年成立，1996年臺灣分公司成立
● 主要業務：為管理系統與產品提供驗證服務提供產品測試服務，開發個別、國家及國際性的標準，提供標準與國際貿易的訓練與資訊，以及提供績效管理軟體解決方案
● 總部：英國
● 員工數：75人（臺灣）
● 年營收：1億元以上（臺灣）
● 總經理：蒲樹盛

資訊部檔案

● 資訊部門主管職稱：驗證部協理兼任IT部門主管
● 資訊部門主管姓名：謝君豪
● 直屬主管：蒲樹盛
● 資訊部門人數：2人（臺灣）