「請問,我們的ISO 27001的證書是由BSI或是SGS發證的證書,在這兩家驗證機構於10月2日被全國認證基金會(TAF)列入資安安全管理系統的減列名單後,我們的ISO 27001的證書,還有效嗎?」

「如果,我們是資安法規範的機關構,我們是不是要立刻重新轉驗證,取得新的ISO 27001的證書呢?」

上述的種種疑問,過去一周開始於資安圈內不停擴散、恣意傳播,甚至出現種種不同的懶人包以及各種信誓旦旦的網路傳言,告知已經取得由BSI或SGS核發ISO 27001認證的企業或政府機關,如果不趕緊轉驗證,他們的證書將會失效。

行政院資安處表示,依照資安法相關法律的規定,受資安法規範的公務機關以及關鍵基礎設施提供者,只需要在三年內,取得公正第三方驗證的ISO 27001證書即可,沒有「若沒有立即轉證,證書即失效的疑慮。」

全國認證基金會(TAF)執行長許景行則指出,SGS以及BSI兩家驗證公司被TAF列入資訊安全管理系統減列名單是事實,但這兩家公司如果可以儘快針對評鑑缺失項目做改正,在2020年1月2日後,就可以重新申請恢復增列。

BSI以及SGS則指出,將會盡力確保客戶最大權益,兩者核發的ISO 27001證書,若上面有ANAB或UKAS國際認證組織核可的標誌,仍為有效的ISO 27001證書;若是只取得TAF單一組織認可的ISO 27001證書的單位,在取得客戶同意後,會透過轉證的方式,協助企業組織取得國際認證以維持該單位認證的有效性。

TAF接到客戶抱怨,啟動對BSI 和SGS的專案調查

許景行表示,全國認證基金會(TAF)是一個民間機構,成立的目的,就是要維持臺灣各種認證制度實施與發展,可以符合ISO / IEC 17011的國際規範,而TAF也是臺灣唯一一家受標準法主管機關委託的認證機構(Accreditation Body,AB),至於包括SGS、BSI等驗證公司,則是所謂的驗證機構(Certification Body,CB),多是私人單位。

從今年1月1日正式實施的《資通安全管理法》中也規定,未來資安法中所有「公正第三方驗證」所指稱的第三方,則是指經過標準法主管機關委託機構認證的機構。這意味著,未來受資安法規範的所有單位要取得的資安認證,都必須經由全國認證基金會(TAF)認證的驗證機構,所執行的第三方驗證才符合資安法的規定。

外界傳言,BSI和SGS會遭到TAF減列處分,是因為銓敘部的個資外洩事件造成的,BSI是前手的ISO 27001驗證公司,SGS是現在的驗證公司。但許景行表示,這一次會對兩家驗證公司將施以減列的處分,主要是有接到客戶的「抱怨(Complain)」(類似客訴),「抱怨」對認證公司是非常重要的評鑑關鍵,在ISO 17011中的第3.2節中也有明確規定和相關文件流程,因此,TAF才會啟動專案調查,但抱怨的內容因為涉及客戶機密,並無法對外公開。調查BSI和SGS的過程中,由評鑑委員現場調查後,另外由審議委員開會討論後才進行處分。

TAF針對驗證機構的調查大致可以從三個面向著手,包括:驗證流程的SOP、稽核人員的能力,以及實地看驗證機構的稽核人員如何稽核客戶的過程。

他指出,此次在調查BSI和SGS的過程中發現,這兩家驗證機構在上述的面向中,不符合TAF對於國際資安認證標準的重點要求,經審議委員開會決議後,才決定予以減列的處分,並基於ISO 17011:2017 第7.7.5節的要求,即刻發函通知兩家驗證公司並於網路上公開,從10月2日起,BSI及SGS在ISO 27001的證書上,都不能使用TAF認證標誌。

從10月2日起,BSI和SGS核發資安證書不得掛TAF標誌

由於BSI和SGS在資訊安全管理系統認證的市占率將近7~8成,有許多人從結果論來看,兩家規模較大、能力較好的驗證公司遭到TAF減列處分後,剩下四家規模較小的驗證公司,難道可以提供比BSI以及SGS更好的稽核品質和能量嗎?相關的處分是否不符合比例原則,過當處分呢?對於某一些主管機關而言,TAF的減列決議讓他們沒有足夠的緩衝因應期,並質疑過往取得的證書效力,是否可以因為減列而溯及既往、即刻失效呢?

許景行表示,這次的調查是基於接到客戶抱怨而來,針對其他四家仍在認可名單上的驗證公司,目前仍有定期的評鑑做品質把關。他說,今天(10月9日)已經召集所有評鑑人員,請上次的評鑑人員分享該次針對BSI和SGS所採用的評鑑標準和注意事項,「未來,TAF也會以同樣的評鑑標準,去對所有資安管理系統的驗證公司進行評鑑。」他說。

而根據ISO 17011 第4.4.2條的規定:「認證機構應對其認證活動的公正性負責,且不應允許商業、財務或其他壓力而影響公正性。」許景行表示,今天TAF基於公正性做出減列的處分,因為市占率大造成的商業損失或不便,甚至是,是否對主管機關造成困擾,都不在TAF的職權範圍之內。

他指出,因為TAF是一個在地化的認證組織(AB),有自己對於在地化法遵的要求與重點,今天BSI和SGS受到減列的處分,只能說,這兩家驗證公司在此次調查結果中,針對TAF審查的重點並沒有良好的表現。身為TAF執行長,則必須尊重審議委員會的處分決議。

TAF對BSI和SGS做出減列處分,實際的作為就是,BSI和SGS從10月2日起,所有ISO 27001的證書上面,都不可以放TAF的認證標誌,因為TAF無法幫BSI和SGS背書,其資安管理系統的稽核流程是否符合TAF的要求。

但許景行也說,BSI和SGS還是其他國際認證組織ANAB以及UKAS的認可會員,顯示其他認證組織,還是認可BSI和SGS具備ISO 27001的稽核能力,只是不符合TAF的重點要求而已。

不過,他也要澄清,證書有效性不在於證書掛哪一個認證機構的標誌,而是看接受證書的單位,是否承認發證單位的公正性與專業性,甚至於,如果企業用戶相信BSI和SGS的驗證,兩家公司也可以自行核發不掛任何認證單位標誌的證書。他認為,以BSI和SGS兩家的實力和資源,只要可以針對不符合的項目進行改善,三個月後就可以重新申請增列。

TAF身為一個認證機構,許景行說,即便SGS是TAF的董事,基於公正性,減列的處分仍然必須落實執行;此次BSI和SGS遭到減列的原因之一,也在稽核人員有能力,但沒有保持驗證的公正性,導致適任性遭到質疑;因為資安的重要性越來越高,國際潮流也都會開始從嚴審查,因此,未來TAF對於資訊安全管理系統驗證單位的審查,都會根據此次的評鑑標準,作為未來所有資安管理系統驗證機構一致性的評鑑指標。

資安法規定取得TAF證書,仍有三年緩衝期,減列不妨害資安課程與證書效力

因為資安法在今年1月1日正式施行,包括公務機關以及關鍵基礎設施服務提供者,都會受到資安法的規範。而其中,根據資安法施行細則及相關子法的規定,「初次受核定或等級變更後之二年內,全部核心資通系統導入CNS 27001資訊安全管理系統國家標準、其他具有同等資訊安全管理系統之導入及或以上效果之系統或標準,或其他公務管理面通過公正第三方之驗證機關自行發展並經主管機關認可之標準,於三年內完成公正第三方驗證,並持續維持其驗證有效性。」

行政院資安處表示,從上述的規定來看,外面傳言公務機關要立即換證、轉證的說法是不精確的,因為受資安法規範的單位,未來取得ISO 27001資安認證的範圍,必須是全機關的核心系統外,也有三年的緩衝期,取得TAF認證的ISO 27001證書。行政院資安處也會發函給各相關單位做上述事實的澄清。

另外,資安會報也在最新的「108年第2季更新之資通安全專業證照清單」中,也清楚規定,只要是經TAF或國際認證機構認可之資安相關管理系統驗證機構,所核發的ISO 27001:2013的主導稽核員(LA)的課程和證書,都是有效的。也就是說,即便目前BSI和SGS遭到TAF減列,仍不影響上述單位舉辦課程和核發ISO 27001主導稽核員證書的有效性。

BSI三個月後申請增列,SGS同步申訴並於三個月後申請增列

由於TAF的規定,BSI和SGS遭到減列的處分後,必須按照規定,即刻通知相關客戶。臺灣BSI針對客戶的聲明則明確指出,臺灣BSI對客戶核發的ISMS證書,除TAF認可外,也取得國際認可機構(ANAB)登錄之合法公正第三方驗證機構證書。

因為BSI的客戶都同時取得兩張證書,所以在TAF減列期間,由ANAB核發的ISO 27001國際證書仍為有效;對於BSI所提供資安管理課程和服務並不受影響;對於資安法適用組織的符合性時程,也沒有影響。臺灣BSI表示,該公司也將在減列生效日起三個月申請增列,並會隨時更新相關消息。

另外一個遭到TAF減列處分的SGS,該公司協理張日聖表示,該公司也是UKAS國際認可機構的會員,客戶如果同時取得UKAS和TAF的ISO 27001證書,即便TAF因為減列而失效,但UKAS核發的ISO 27001仍為有效的國際認證證書。問題比較大的是,有部分只取得TAF核發的機關單位,為了維護客戶權益,SGS在取得客戶同意後,會協助以轉證的方式,以維護客戶證書的有效性。

張日聖指出,該公司也會依照TAF規定,儘速通知客戶遭到TAF減列事宜,在減列期間,也不會核發任何掛TAF標誌的證書,但為了確保客戶權益,SGS將會同時進行申訴,並於三個月後,申請增列。

SGS部經理何星翰則表示,SGS遭到TAF減列後,受到的衝擊包括,第四季有許多專案無法驗收,有一些客戶的RFP有要求TAF認證的ISO 27001證書,必須回歸契約要求,看是專案延期、減價、罰款等。但他也坦言,這些大範圍的機關構,所需要的稽核服務能量,不見得可以透過轉由另外四家規模較小的合格的驗證機構提供。

行政院資安處表示,驗證公司應該要對驗證範圍進行合理性的認定,應該要維持驗證公司的獨立驗證性,且驗證公司的案子不應該以取得證書作為驗收要件。這一次兩家規模較大的驗證公司BSI和SGS,至少驗證將近四百個公務機關構時,這次的減列或會許造成市場很大的震盪,但也不失為一次趁機調整市場亂象的機會。

 


Advertisement

更多 iThome相關內容