Gemserv是一家英國顧問公司,專門提供能源市場自由化管制結構和治理架構的諮詢與實施之顧問服務,該公司日前通過BSI英國標準協會ISO/IEC 27001資訊安全管理系統(ISMS)驗證。
Gemserv經常為公私部門的客戶處理敏感的商業與經濟數據資料,其客戶包括英國和愛爾蘭的一些地方目的事業主管機關、碳信託機構(Carbon Trust, 英國減碳推動機構)及機械工程師學會(Institution of Mechanical Engineers)。Gemserv認為ISO/IEC 27001是最能妥善協助服務客戶並提升公司商譽的自然方法。藉由達成ISO/IEC 27001的標準和驗證,Gemserv可以證明自己是資料安全和營運持續方面「值得託付的合作夥伴」,同時也突顯了公司上下全部致力於達到所有業務的最佳實務之承諾。
我們認為ISO/IEC 27001是一種向自己證明我們的資訊資產安全保障的方法,Gemserv執行長Nigel Bromley表示:它也會是幫助我們贏得更多業務的重要工具。取得驗證會逐漸成為資料防護者的必備條件,而我們想要跑在所有競爭者的前面。
經歷過程
根據在Gemserv保證團隊服務的專案經理Dinesh Sharma的說法:ISO/IEC 27001已深入整個組織,每個部門的人員都參與,因此你在看待事情時,必須能夠讓各項任務不斷保持平行和環環相扣。高階管理階層的支持無疑是關鍵決定點!
Sharma表示:實行ISO/IEC 27001會使得每個人的工作方式產生根本且長期的改變,因此所有人員必須了解最高管理階層賦予它的重要性。如果員工認為ISO/IEC 27001是選擇性的,你很難讓人員徹底遵循標準。但是透過專案,我已獲得Gemserv高階管理階層的完全支持,以及一支非常勤奮且熱忱的專案團隊。
Gemserv很早就決定要由內部人員來實行專案,而非將任務交由外部專家。然而為了確保公司遵循正確的途徑,Gemserv接觸了BSI管理系統。
身為公正的驗證機構,BSI無法提供任何形式的顧問服務。BSI必須維持完全獨立公正性,但經常被請求提供建議。因此,BSI創造了「聯合顧問群組方案」(Associate Consultant Programme, ACP),將知名的顧問公司彙整成一份名單,其目的並非要為任何一家顧問公司的服務背書,但此方案的所有成員已證明自己在驗證管理系統上的經驗。
透過聯合顧問群組方案,Gemserv挑選 IT Governance有限公司來擔任專案指導人作為其ISO/IEC 27001的顧問。Gemserv與 IT Governance共同議定了一項五階段的專案藍圖,有定期的檢查時點,顧問們會在檢查時點到達時造訪公司抽樣檢查工作,並提供任何建議。此外,IT Governance也在一開始提供專家訓練,讓Sharma和他的團隊具備需要的知識和技能。專案團隊的成員包括來自公司每個部門的代表。這些成員除了協助實行專案,也要擔任ISO/IEC 27001的提倡者,向關係較密切的同事解釋遵循標準的利益。
Sharma表示:專案團隊最積極參與風險評估階段,但我們覺得要讓他們對整個任務有全面性的了解,並在整個過程中隨時獲知相關資訊。他補充說:獲得驗證後,看起來好像遊戲結束了,但事實上才正要開始。一旦備妥資訊安全管理系統,你必須讓它成為公司文化的一部分——這需要持續的維護和注意。
你的團隊必須受過適當訓練。我的角色之一是與每個團隊成員進行一對一的風險評估訓練,協助他們逐步了解並獲得信心。Sharma表示:你不可能要你的團隊回到自己的辦公桌,然後希望他們能自己搞懂。那聽起來或許很耗時,但總比你三個月後才發現整個風險評估因為一些基本的誤解而有錯誤好多了。
Sharma奉勸企業不要低估風險評估所需要的時間:「這是我們必須延長最後期限的一個領域。風險評估所牽涉的層面十分複雜,雖然我認為我們在時間的配置上已非常寬鬆,但結果證明我們還是少估了三分之一的時間。」
