主機代管業者爭相取得ISO 27001認證

臺灣主機代管業者對於取得資安認證是十分積極的一群，包括宏碁、數聯資安等多家業者都已經擁有BS7799的認證，去年10月BS7799-2：2005改版成ISO 27001：2005標準，近期已經開始有業者取得最新版本的認證，並都以機房作為認證範圍。臺灣固網在6月20日宣布取得ISO 27001：2005的資安認證，中華電信也於5月中旬取得相同認證。

臺灣固網行銷處長陳志壯表示，臺灣固網此次認證的範圍是以IDC的機房為主，除了IDC是臺灣固網面對未來IP化重要的基礎外，主要還是因為臺灣固網主要業務在於提供寬頻連線服務和主機代管，機房的安全也意味著企業用戶數位資產的安全，取得認證，可昭公信。

除了臺灣固網，中華電信也以機房作為ISO 27001的認證範圍。中華電信網際網路處科長吳怡芳表示，包括代管的GSN網路中心機房與資安監控中心（SOC）的機房都在認證範圍內。這也是第一家同時將2個機房，一同納入資安稽核範疇中的主機代管業者。

ISO 17799：2005作業要點中，總共有11個項目、39個安全分類，以及133個控制措施，進行資安認證並不見得需要完成133個控制措施，陳志壯表示，臺灣固網只有5個控制措施沒有實施認證，主要是因為尚未提供類似服務，這控制措施包含，電子商務、線上交易、金鑰控制和密碼管理等；而中華電信也完成128個控制措施，沒有執行的則是基於禁止遠端存取前提下，相關的控制措施。也因為每一家主機代管業者提供的服務與認證目的不同，即使同樣以機房作為認證標的，所進行的控制措施也不盡相同。

從成立專案小組到諮詢客戶意見、延請顧問公司到正式進行稽核認證，臺灣固網花了大約1年時間，陳志壯指出，這1年光是硬體設備的升級、汰換，就花了將近1000萬元，而聘請顧問到將文件電子化，也花了約200萬元。陳志壯說，對臺灣固網而言，花錢拿認證，除了強化顧客的信任度，並拓展代管企業客戶的市占率外，最大的好處在於，將相關文件電子化後，也同時提供一個知識管理平臺的契機，讓以往必須24小時輪班的資深工程師，可以對企業用戶提供更主動的規畫服務。

吳怡芳認為，取得ISO 27001對中華電信而言，可以提供企業用戶對其信心，但她感受最深刻的則是內部流程管理上，透過資安制度的稽核，可以從每日的報表得知內部運作系統上發生的問題，可進一步管控、改善，是她認為取得ISO27001：2005認證後，最大的效益。

先前已經取得BS 7799-2：2005認證的主機代管公司，多預計在年底前取得升級ISO 27001認證。宏碁安全技術與管理處處長顧寶裕表示，宏碁將機房以及維運服務系統納入安全認證範圍，有鑑於升級版本較第一次取得認證有經驗，目前已經正在準備升級轉版事宜。數聯資安總經理張肇榮也說，年底前取得ISO 27001認證是進行中的計畫，主要認證範圍也以資安監控中心（SOC）機房為主。文⊙黃彥棻