以下新聞來自:RUN!PC
雖然台灣在BS25999的認證取得先機,但是仍以IT服務等業務為主要取得認證的單位,其實,除了要看取得認證的家數外,還要看取得認證的範圍,目前大部分的公司都不是以財務單位來取得認證,也就是說大部分企業仍以業務需求為考量,最為大家所憂心的內控問題,仍然沒能因為BS25999認證的規範而獲得解決。
繼國際資訊安全稽核規範BS7799(ISO27001)、資訊服務管理規範BS15000(ISO20000)等標準,在過去幾年來,逐漸被台灣企業所認同或是取得認證之後,英國標準協會(BSi)於去年11月正式發佈BS25999-2規範,精誠位於中和的列印封裝中心及IBM位於林口的電子商務資訊服務中心(e-Center)也在近兩個月中,陸續成為首批取得BS25999認證的機構。
BSi副總經理蒲樹盛表示,台灣民眾在日常生活中,遇到天災、人禍導致銀行、電信或企業罷工等狀況,導致企業業務中斷服務時,並沒有求償的管道,也習以為常接受企業服務中斷的訊息,現階段在台灣僅能靠企業自我承諾來保障消費者的權益。其實企業營運持續管理(Business Continuity Management, BCM)在過去雖然沒有標準與規範,但也有許多先進國家陸續將其納為規定,像新加坡政府已經規定上市公司的營運中斷以四小時為限,違反規定則加以開立罰單,限制其業務拓展,而日本也將立法。
BCM意指企業或組織在遭受風險事件時及事件發生後,仍然維持對客戶、員工及合作夥伴持續服務的能力,也就是相關規畫必須包含業務面、組織面、流程面、財務面、人員及科技的運用等進行全盤考量,並藉由實施BCM,將災害發生時所帶來的衝擊和中斷時間降至最低。
就在二房危機、雷曼兄弟等銀行陸續出現問題或是倒閉後,如新加坡、香港、中東、日本、歐洲等國也越來越重視BCM的立法問題。蒲樹盛指出,BS25999認證雖然在去年底才推出,但是目前已經有18家公司通過並取得認證,如韓國的三星人壽、工業銀行,印度的Accenture,日本的Fujitsu等公司。台灣除了精誠與IBM外,將在年底前還會有1家金融業及2家高科技製造業取得認證。
雖然台灣在相關認證取得先機,但是仍以IT服務等業務為主要取得認證的單位,蒲樹盛指出,除了要看取得認證的家數外,還要看取得認證的範圍,目前大部分的公司都不是以財務單位來取得認證,也就是說大部分企業仍以業務需求為考量,最為大家所憂心的內控問題,仍然沒能因為BS25999認證的規範而獲得解決。
「這部分需要靠法律規定才行。」蒲樹盛說。
雖然e-Center取得BS25999認證仍以IT服務等相關業務做為主要考量,但蒲樹盛還是相當讚許e-Center願意將承諾復原的目標時間定為1小時。IBM資深顧問陳晞涵表示,e-Center除承諾資料回復上以1小時為目標外,還訂定最大可容忍中斷時間(Maximum Tolerable Period of Disruption,MTPD)為八小時,而面對高單價且交期長的設備及人員,IBM則與自己的敦南資料中心互相備援,取得資源。