如何100%提升客戶信任度 導入ISO 22301循序落實企業永續經營目標

眾所皆知，ISO 27001是兼具高普及性、高完整性的資訊安全管理系統（ISMS）檢驗標準，企業若付諸實踐其中14大類114個控制項，即可望提升資安管理能力，降低在資訊上可能面臨的風險，確保企業與用戶資訊的機密性、完整性及可用性，從而增加客戶信任度。

ISO 27001不僅是許多國際大廠用以稽核上游供應鏈夥伴的要項，且按臺灣「資通安全管理法」規定，無論A、B、C級的公務或特定非公務機關，皆須導入ISO 27001標準，甚至是取得認證，顯見這套管理制度至為重要。

先撇開2022年出爐的ISO 27001：2022不談，過去幾年被各界奉為圭臬的版本是ISO 27001：2013，它之所以備受重視，在於相較前一個2005版增加風險管理概念，主張企業應清點資訊資產，分析各資產可能的風險因子，再依風險發生機率、損失金額的乘積，區分高中低風險，採用不同緩解措施。

但不可諱言，導致企業無法持續營運的變數，絕不僅有資訊安全一項，其餘還有相當多因素，譬如地震、火災、洪水…等等。因此近年逐漸興起一個新觀念，欲判斷企業值不值得被信賴，除觀察是否通過ISO 27001認證外，亦須檢視另一張「ISO 22301營運持續管理」證書，藉此評估該企業有無能力應付各種營運中斷風險。

安華聯網不僅擅於提供ISO 27001顧問服務，輔導企業通過認證，針對能見度越來越高的ISO 22301標準，同樣能提供高品質的顧問服務。
 

ISO 22301標準於2019年發佈，可由ISO 27001：2013的附錄A.17延伸實作方法含4個控制項目，由於ISO 27001強調不可排除任何一項，所以附錄A.17屬於企業的必選題、非加分題。因企業不只面對資訊設備或流程失效的威脅，亦須強化多方面的風險控制，才能避免因遭受破壞性事件而停止營運；所以ISO後來決定將A.17擴大，單獨發展為ISO 22301。

ISO 27001談的是資安管理流程，ISO 22301談的則是由資訊單位擴大成企業永續流程，且偏向實作流程。然而ISO 22301內含的營運風險評鑑概念，其實與ISO 27001資訊資產風險評鑑類似，需要先盤點可能衝擊營運的各種事件，再結合時間軸概念（例如停電5分鐘、5小時或5天），透由科學分析方法，歸納高中低風險因子，找出最大容忍停電時間，據此設計緩解措施。

若論及BCP（持續營運計畫）議題， ISO 22301已從主觀認定轉向客觀分析，重視風險分析方法論，甚至將時間軸納為評量依據。

最後則套用ISO管理架構，每年依循PDCA步驟，周而復始運行下去，以達到逐年持續改善目標。ISO 22301非常重視的一點，便是企業是否找到合適且能反覆執行的風險分析方法。
 

發展至今，金管會已要求國內金融機構，須導入ISO 22301。除此以外，有鑒於近三年全球受到疫情衝擊，驅使各界積極尋找降低風險的方法，ISO 22301也被視為解方之一。

針對ISO 22301，安華聯網提供務實的顧問服務方案，協助企業釐清導入範圍、準備文件（亦即定義規範）、執行規範、產出相關佐證資料（例如表單、計畫書、會議紀錄…等），最終通過第三方驗證、取得證書。安華聯網與一般顧問同業較大的不同，在於安華聯網擁有國際資安合規與認驗證及檢測能力，具有工控、醫療、車載、金融等產業經驗，並已協助全球超過10個國家與300家企業導入合規標準或取得證書。

一般來說，ISO 22301的正常輔導週期為12個月，但多數企業因承受來自其客戶的時間壓力，可能需要將導入時程縮減在6個月內。安華聯網的顧問團隊具有豐害的實務經驗，能加快整體專案速度，降低企業內部的人力負擔，有效協助企業落實永續經營目標。

總括而論，近年因疫情、斷鏈、通膨、戰爭、ESG、SDG合規等變動影響，使得全球各界對營運持續管理產生不同的見解，仍有越來越多企業投入ISO 22301驗證，期望強化風險承擔能力，落實永續發展目標。