NII推顧問服務　幫助企業取得國際資安認證

NII推出資訊安全管理制度顧問服務，以協助中小企業通過國際認證。但分析師認為，取得認證是一個過程，資安防護的實質意涵才值得關注。

NII（國家資訊基本建設產業發展協進會）宣布推出中小企業ISMS（資訊安全管理制度）建置顧問服務，號稱能讓中小企業以最低的成本、最快的速度通過ISO27001驗證。

ISO27001是國際標準組織在2005年公佈實施的資訊安全管理國際標準，以英國標準協會的BS7799為基礎，參酌其他國際標準所訂定，適用於各種組織型態。

NII推出的ISMS顧問服務，針對100人以下的中小企業提供ISO27001企業驗證輔導服務，包含資訊安全管理及技術之投資與評估、資訊安全管理策略諮詢與建議、資訊安全診斷及制度設計以及經營者及員工的資訊安全教育訓練，希望能夠幫助企業建立符合國際標準的資訊安全管理系統。

台灣目前有124個單位獲得ISO27001的驗證，其中有80%以上是政府單位。NII事業規劃處經理吳昭儀認為，國內企業習性較為被動，過去是政府計畫補助推動，現在許多國際手機與電腦大廠紛紛要求台灣的OEM或ODM廠商，建置資訊安全管理機制，未來是否具有值得廠商信賴的資安環境，成為國際大廠下單的重要考量，迫使國內企業重視資安問題。

以往通過國際驗證的資安管理需投入大量的時間、人力與經費。NII資訊風險管理組協理魯君禮表示，中小企業ISMS建置顧問服務讓這些中小企業可以根據企業本身的需求和預算，選擇實施控管項目，以最短時間建置資訊安全規範及標準作業流程，取得ISO27001資安管理系統驗證。

魯君禮說：「如果你的預算只有十萬塊，那我們就做十萬塊能做的事。」他表示，國內大部分的中小企業員工人數與個人電腦數量較少，也沒有複雜的網路架構，不一定需要投注高額成本與人力來完成ISMS建置。他也強調，NII以神農嘗百草的精神，以精簡的人力成本在3個月之內完成ISMS建置，並取得ISO27001驗證。

然而，資訊安全是一個持續進行的工作，而不是一個短期或一次就可以搞定的專案。資策會產業分析師王義智表示，資訊安全設備不論硬體和軟體的建置都需要大量經費，NII強調成本低、速度快，可能吸引那些只想要獲得驗證的中小企業，但是取得驗證之後，是否真的能夠有效控管企業資安的風險才是重點，過分強調通過驗證，而忽視對於資訊安全防護的實質意涵，反而是個隱憂。

目前國內提供資訊安全顧問服務的機構包括勤業眾信、安侯建業、資誠和致遠四大會計事務所，以及弘瞻資訊、巨安資訊等公司。王義智說，目前的市場是以四大會計事務所為主流，NII加入資訊安全顧問服務應該無法改變市場結構。

不過他還是十分肯定NII在資訊安全認知與教育方面的努力，如建立i-Security 資安認知學習中心網站、開設相關課程等等，他說，不論以哪些方式去推動，若能夠讓中小企業重視資安議題，他都樂觀其成。

目前台灣有124個單位獲得ISO27001資安管理系統驗證，僅次於日本、英國、印度，名列全球第四。而這些單位以政府機關、金融機構、資訊安全服務廠商以及電信業者為主。