如何分辨 ISO 27001 證書的有效性

這是一個ISO證書滿天飛的時代，經常看到很多企業，或是同業宣稱通過 ISO 驗證，但是這些證書是不是有效的？是不是國際認可？

ISO 27001, ISO 20000, ISO 9001等ISO國際標準，除了是管理系統的建構及實施指引外，也是驗證機構進行驗證的標準。

一張具有公信力且能被國際社會接受的有效證書，應該是在認證委員會的完整管理制度下，由公正獨立的第三者驗證機構執行稽核，證明被稽核單位的管理系統，在執行與維持（Plan-Do-Check-Act）管理系統均能符合相關標準。

在這樣的條件下，只要是ISO標準之驗證證書上，不但應該註明驗證範圍、日期、地址、及證書編號等可鑑別與追溯之資料外，也必須同時有『認證委員會』、『驗證機構』及『被稽核單位』(也就是您的公司)共三者的名稱或標誌。

尋找認證委員會網站

大部份的認證委員會均為國家級組織，多數的國家都只有一個認證委員會，例如在台灣的財團法人全國認證基金會(TAF)、英國的UKAS、美國的ANAB等等。此外，通過認證委員會的ISO 27001證書，可以在該機構網站上查到，而不是驗證公司，例如：TAF的ISO 27001證書，可以在以下網址查到：

http://www.taftw.org.tw/wSite/sp?xdUrl=/wSite/taf/cbalab.jsp&ACCID=CBA_MS_ID&mp=1

找有口碑與品質的驗證機構

相對地，全球絕大多數的驗證機構皆為民間組織或企業，例如：BSi、BV、SGS等，少數的例外，如台灣的標準檢驗局。因為驗證機構為直接執行稽核的單位，故應具備公正獨立的特性。所謂的『公正獨立』，至少應該在行政及財務上不受任何利害相關者影響，在國際間具有一定的知名度、口碑及公信力，內部己有完整且符合ISO 27006、ISO Guide 62或66的管理制度，且在界各國均發出有一定數量的證書。目前台灣有很多驗證機構，開立輔導顧問公司，等於是球員兼裁判，這樣的ISO證書，您可以信賴嗎？

但由於驗證市場的存在，坊間也出現一些「以發證為目的」之驗證機構。這些業者並非驗證機構直屬之公司或分公司，而是本地的公司向一些國外驗證機構取得授權後之加盟公司，驗證的品質很差，很多國內機關根本都沒有落實與實行符合ISO 27001國際標準，竟然也可以拿到證書，問題是：這樣的證書真的可以代表有效的資訊安全管理嗎。

還有些不肖的驗證單位根本未通過任何認證委員會的考核，或為了規避被認證委員會發現其不合規定之發證行為，而刻意頒發只有驗證單位自己的標誌，而不含任何認證委員會標誌的證書。拿到這樣『獨立』於規定之外的證書，絕非任何一個企業主或客戶所希望看到的。

如何判斷有國際公信力的證書?

在正常的證書上，至少會有兩個不同的標誌(logo)。一個屬於驗證機構(Certification Body)，另一個則屬於申請認證國別之認證委員會(Accreditation Body)，以及此證書可以在認證委員會，例如在台灣的財團法人全國認證基金會(TAF)、英國的UKAS、美國的RAB等等官方公開網站查詢得到，而不是在驗證機構私人的公司網站上查詢。符合這些規則的證書，才是具備有國際公信力的證書，在ISO管理系統的品質上，才會有一定的保障。