如何 100% 提升客戶信任度 導入 ISO 22301 循序落實企業永續經營目標

眾所皆知，ISO 27001 是兼具高普及性、高完整性的資訊安全管理系統（ISMS）檢驗標準，企業若付諸實踐其中 14 大類 114 個控制項，即可望提升資安管理能力，降低在資訊上可能面臨的風險，確保企業與用戶資訊的機密性、完整性及可用性，從而增加客戶信任度。

ISO 27001 不僅是許多國際大廠用以稽核上游供應鏈夥伴的要項，且按臺灣「資通安全管理法」規定，無論 A、B、C 級的公務或特定非公務機關，皆須導入 ISO 27001 標準，甚至是取得認證，顯見這套管理制度至為重要。

先撇開今年（2022）新出爐的 ISO 27001：2022 不談，過去幾年被各界奉為圭臬的版本是 ISO 27001：2013，它之所以備受重視，在於相較前一個 2005 版增加風險管理概念，主張企業應清點資訊資產，分析各資產可能的風險因子，再依風險發生機率、損失金額的乘積，區分高中低風險，採用不同緩解措施。

但不可諱言，導致企業無法持續營運的變數，絕不僅有資訊安全一項，其餘還有相當多因素，譬如地震、火災、洪水…等等。因此近年逐漸興起一個新觀念，欲判斷企業值不值得被信賴，除觀察是否通過 ISO 27001 認證外，亦須檢視另一張「ISO 22301 營運持續管理」證書，藉此評估該企業有無能力應付各種營運中斷風險。

安華聯網 不僅擅於提供 ISO 27001 顧問服務，輔導企業通過認證，針對能見度越來越高的 ISO 22301 標準，同樣能提供高品質的顧問服務。

以科學分析方法，找出衝擊營運的高風險因子

ISO 22301 標準於 2019 年發佈，可由 ISO 27001：2013 的附錄 A.17 延伸實作方法含4個控制項目，由於 ISO 27001 強調不可排除任何一項，所以附錄 A.17 屬於企業的必選題、非加分題。因企業不只面對資訊設備或流程失效的威脅，亦須強化多方面的風險控制，才能避免因遭受破壞性事件而停止營運；所以 ISO 後來決定將 A.17 擴大，單獨發展為 ISO 22301。

ISO 27001 談的是資安管理流程，ISO 22301 談的則是由資訊單位擴大成企業永續流程，且偏向實作流程。然而 ISO 22301 內含的營運風險評鑑概念，其實與 ISO 27001 資訊資產風險評鑑類似，需要先盤點可能衝擊營運的各種事件，再結合時間軸概念（例如停電5分鐘、5小時或5天），透由科學分析方法，歸納高中低風險因子，找出最大容忍停電時間，據此設計緩解措施。

若論及 BCP（持續營運計畫）議題， ISO 22301 已從主觀認定轉向客觀分析，重視風險分析方法論，甚至將時間軸納為評量依據。

最後則套用 ISO 管理架構，每年依循 PDCA 步驟，周而復始運行下去，以達到逐年持續改善目標。ISO 22301 非常重視的一點，便是企業是否找到合適且能反覆執行的風險分析方法。

精準調控專案步驟，加速完成驗證程序

發展至今，金管會已要求國內金融機構，須導入 ISO 22301。除此以外，有鑒於近三年全球受到疫情衝擊，驅使各界積極尋找降低風險的方法，ISO 22301 也被視為解方之一。

針對 ISO 22301，安華聯網提供務實的顧問服務方案，協助企業釐清導入範圍、準備文件（亦即定義規範）、執行規範、產出相關佐證資料（例如表單、計畫書、會議紀錄…等），最終通過第三方驗證、取得證書。安華聯網與一般顧問同業較大的不同，在於安華聯網擁有國際資安合規與認驗證及檢測能力，具有工控、醫療、車載、金融等產業經驗，並已協助全球超過10個國家與300家企業導入合規標準或取得證書。

一般來說，ISO 22301 的正常輔導週期為 12 個月，但多數企業因承受來自其客戶的時間壓力，可能需要將導入時程縮減在6個月內。安華聯網的顧問團隊具有豐害的實務經驗，能加快整體專案速度，降低企業內部的人力負擔，有效協助企業落實永續經營目標。

總括而論，近年因疫情、斷鏈、通膨、戰爭、ESG、SDG合規等變動影響，使得全球各界對營運持續管理產生不同的見解，仍有越來越多企業投入 ISO 22301 驗證，期望強化風險承擔能力，落實永續發展目標。