高科技製造業對ITBPM興致勃勃

在資安管理上面，除了ISO 27001的國際標準之外，近來國內也有高科技製造商，對於已經經過德國企業驗證的ITBPM興致勃勃。

所謂的ITBPM（Information Technology Baseline Protection Manual；德國聯邦IT基準安全防護手冊）是一種以資訊資產為主軸的安全防護措施，專注在實體安全上面；換句話說，ITBPM也是一本IT設備安全防護體系的建置指南，企業可以依照其分類方式，將資訊資產分層次、再分模組，而每一模組都有一組建議的安全防護標準措施。若能完全遵循相關安全防護的規範，即可建置符合中等安全等級的IT安全管理系統；倘若組織內因故有較高的安全需求，則可以再做風險評鑑，增加必要的安全防護措施即可。

目前國內新竹科學園區，已經有兩家晶圓製造相關廠商正在導入ITBPM的標準，輔導商香港商漢德技術監督服務亞太有限公司（TUV）資訊技術事業處協理鄧永基表示，該兩廠商導入ITBPM並不打算申請認證，而是用來強化內部資訊資產安全管理的能力。

鄧永基進一步說明，上述兩家高科技製造商已經通過ISO 27001的資安管理認證的標準，但是，這些工廠廠區人來人往的進出較為複雜，ISO 27001對於實體安全的規範只是提綱挈領提到，相對於ITBPM這個德國的安全標準，其各種實體安全的規範較為詳細。也就是說，這些高科技製造業希望透過導入ITBPM，強化其實體安全的管理能力。

除了這些高科技製造商外，政府機構中的電信技術中心、工研院資訊中心以及宏瞻資訊等，也都陸續導入ITBPM相關標準，不過，就鄧永基觀察，這些單位多半沒有打算拿ITBPM認證，主要是因為ITBPM認證很難取得，第1階段認證通常需要2年，第2階段認證需要4年，之後才會頒發通過ITBPM的證書。

許多高科技製造業對於導入ITBPM都有極高的興趣，日月光集團高雄廠區資訊中心副總經理盛敏成便表示，希望透過ITBPM規範，進一步釐清組織安全、IT系統安全以及IT產品安全的關連性。

目前已有多家高科技製造商正在研究，如何透過搭配ISO 27001以及ITBPM，達到企業安全政策與實體安全能夠達到兩全其美的目的，鄧永基說，在建置資安管理系統時，若能將每一個資訊資產模組所建議的安全防護標準，與ISO 27001完整結合，更可提高這類對安全有高需求性廠商的安全等級。文⊙黃彥棻