企业网络安全
23.Dec.2022
如何100%提升客户信任度 导入ISO 22301循序落实企业永续经营目标
众所皆知,ISO 27001是兼具高普及性、高完整性的信息安全管理系统(ISMS)检验标准,企业若付诸实践其中14大类114个控制项,即可望提升信息安全管理能力,降低在信息上可能面临的风险,确保企业与用户信息的机密性、完整性及可用性,从而增加客户信任度。
ISO 27001不仅是许多国际大厂用以稽核上游供应链伙伴的要项,且在某些地区,以台湾为例,按台湾「资通安全管理法」规定,无论A、B、C级的公务或特定非公务机关,皆须导入ISO 27001标准,甚至是取得认证,显见这套管理制度至为重要。
先撇开今年(2022)新出炉的ISO 27001:2022不谈,过去几年被各界奉为圭臬的版本是ISO 27001:2013,它之所以备受重视,在于相较前一个2005版增加风险管理概念,主张企业应清点信息资产,分析各资产可能的风险因素,再根据风险发生机率、损失金额的乘积,区分高中低风险,采用不同缓解措施。
但不可讳言,导致企业无法持续营运的变量,绝不仅有信息安全一项,其余还有相当多因素,譬如地震、火灾、洪水……等等。因此近年逐渐兴起一个新观念,欲判断企业值不值得被信赖,除观察是否通过ISO 27001认证外,还需检视另一张「ISO 22301营运持续管理」证书,藉此评估该企业有无能力应付各种营运中断风险。
仲至信息不仅擅于提供ISO 27001顾问服务,辅导企业通过认证,针对能见度越来越高的ISO 22301标准,同样能提供高质量的顾问服务。
ISO 27001不仅是许多国际大厂用以稽核上游供应链伙伴的要项,且在某些地区,以台湾为例,按台湾「资通安全管理法」规定,无论A、B、C级的公务或特定非公务机关,皆须导入ISO 27001标准,甚至是取得认证,显见这套管理制度至为重要。
先撇开今年(2022)新出炉的ISO 27001:2022不谈,过去几年被各界奉为圭臬的版本是ISO 27001:2013,它之所以备受重视,在于相较前一个2005版增加风险管理概念,主张企业应清点信息资产,分析各资产可能的风险因素,再根据风险发生机率、损失金额的乘积,区分高中低风险,采用不同缓解措施。
但不可讳言,导致企业无法持续营运的变量,绝不仅有信息安全一项,其余还有相当多因素,譬如地震、火灾、洪水……等等。因此近年逐渐兴起一个新观念,欲判断企业值不值得被信赖,除观察是否通过ISO 27001认证外,还需检视另一张「ISO 22301营运持续管理」证书,藉此评估该企业有无能力应付各种营运中断风险。
仲至信息不仅擅于提供ISO 27001顾问服务,辅导企业通过认证,针对能见度越来越高的ISO 22301标准,同样能提供高质量的顾问服务。
以科学分析方法,找出冲击营运的高风险因素
ISO 22301标准于2019年发布,可由ISO 27001:2013的附录A.17延伸实际操作方法含4个控制项目,由于ISO 27001强调不可排除任何一项,所以附录A.17属于企业的必选题、非加分题。因企业不只面对信息设备或流程失效的威胁,亦须强化多方面的风险控制,才能避免因遭受破坏性事件而停止营运;所以ISO后来决定将A.17扩大,单独发展为ISO 22301。
ISO 27001谈的是信息安全管理流程,ISO 22301谈的则是由信息单位扩大成企业永续流程,且偏向实作流程。然而ISO 22301内含的营运风险评鉴概念,其实与ISO 27001信息资产风险评鉴类似,需要先盘点可能冲击营运的各种事件,再结合时间轴概念(例如停电5分钟、5小时或5天),通过科学分析方法,归纳高中低风险因素,找出最大容忍停电时间,据此设计缓解措施。
若论及BCP(持续营运计划)议题, ISO 22301已从主观认定转向客观分析,重视风险分析方法论,甚至将时间轴纳为评量依据。
最后则套用ISO管理架构,每年依循PDCA步骤,周而复始运行下去,以达到逐年持续改善目标。ISO 22301非常重视的一点,便是企业是否找到合适且能反复执行的风险分析方法。
ISO 27001谈的是信息安全管理流程,ISO 22301谈的则是由信息单位扩大成企业永续流程,且偏向实作流程。然而ISO 22301内含的营运风险评鉴概念,其实与ISO 27001信息资产风险评鉴类似,需要先盘点可能冲击营运的各种事件,再结合时间轴概念(例如停电5分钟、5小时或5天),通过科学分析方法,归纳高中低风险因素,找出最大容忍停电时间,据此设计缓解措施。
若论及BCP(持续营运计划)议题, ISO 22301已从主观认定转向客观分析,重视风险分析方法论,甚至将时间轴纳为评量依据。
最后则套用ISO管理架构,每年依循PDCA步骤,周而复始运行下去,以达到逐年持续改善目标。ISO 22301非常重视的一点,便是企业是否找到合适且能反复执行的风险分析方法。
精准调控项目步骤,加速完成验证程序
有鉴于近三年全球受到疫情冲击,驱使各界积极寻找降低风险的方法,ISO 22301被视为方法之一。
针对ISO 22301,仲至信息提供务实的顾问服务方案,协助企业厘清导入范围、准备文件(亦即定义规范)、执行规范、产出相关佐证资料(例如表单、计划书、会议记录…等),最终通过第三方验证、取得证书。仲至信息与一般顾问同业较大的不同,在于仲至信息拥有国际信息安全合规与认验证及检测能力,具有工控、医疗、车载、金融等产业经验,并已协助全球超过10个国家与300家企业导入合规标准或取得证书。
一般来说,ISO 22301的正常辅导周期为12个月,但多数企业因承受来自其客户的时间压力,可能需要将导入时程缩减在6个月内。仲至信息的顾问团队具有丰害的实务经验,能加快整体项目速度,降低企业内部的人力负担,有效协助企业落实永续经营目标。
总括而论,近年因疫情、断链、通膨、战争、ESG、SDG合规等变动影响,使得全球各界对营运持续管理产生不同的见解,仍有越来越多企业投入ISO 22301验证,期望强化风险承担能力,落实永续发展目标。
针对ISO 22301,仲至信息提供务实的顾问服务方案,协助企业厘清导入范围、准备文件(亦即定义规范)、执行规范、产出相关佐证资料(例如表单、计划书、会议记录…等),最终通过第三方验证、取得证书。仲至信息与一般顾问同业较大的不同,在于仲至信息拥有国际信息安全合规与认验证及检测能力,具有工控、医疗、车载、金融等产业经验,并已协助全球超过10个国家与300家企业导入合规标准或取得证书。
一般来说,ISO 22301的正常辅导周期为12个月,但多数企业因承受来自其客户的时间压力,可能需要将导入时程缩减在6个月内。仲至信息的顾问团队具有丰害的实务经验,能加快整体项目速度,降低企业内部的人力负担,有效协助企业落实永续经营目标。
总括而论,近年因疫情、断链、通膨、战争、ESG、SDG合规等变动影响,使得全球各界对营运持续管理产生不同的见解,仍有越来越多企业投入ISO 22301验证,期望强化风险承担能力,落实永续发展目标。
