新聞發佈2007-11-22
英國資訊安全負責人關切日前發生於英國皇家稅務與海關總署的事件,並認為該事件有賴於BSI 英國標準協會就資訊安全與資料保護訂定了指導綱要。
BSI英國標準董事Mike Low表示:「前幾天發生的資安事件,迫使許多組織重新評估處理有價值資料的作法。針對這部份,一系列的英國標準可提供一套完整的資訊安全與資料保護方法,也提供獨立第三方驗證的具體辦法與服務。」
「去年,有62%企業組織被報導資訊安全出現問題(註1.),然而有賴於國際標準、詳細指南、驗證以及課程。提供企業組織能夠有效管理與控制所有風險的良好工具」。
資訊安全
保護資訊資產,重點在於採用適任的人、正確的過程、程序與技術。英國標準在資訊安全方面,可將對組織蓄意或意外可能導致的危害,降到最低程度。
BS ISO/IEC 27001 是一套以風險為基礎的管理系統,提供資訊安全的系統性方法,以及保護所有不同形式的資訊。BS ISO/IEC 27001是一種可驗證的標準,這意味著任何大小、產業或功能的組織,都能尋求獨立第三方來稽核其資訊管理績效。
這項由BSI制定的自發性標準,早在其交換最佳風險管理的規範時,就已經享譽全球。
ISO/IEC 27002 是一種作業規範,用來建立資訊安全的最佳規範,協助組織執行資訊安全管理系統。本標準涵蓋多種資訊安全議題,包括安全政策、資產控管以及人員安全。
資料保護
BSI資料保護指南 (BIP 0012) 透過資訊委員辦公室及英國工會的協助。在執行資料保護法案 (1998) 以及電子郵件政策、資料庫管理、主題檢索與電子商務往來等方面提供很實用的指南。
關於保護資料的英國標準。新的資料保護標準可以看得出工作未來成果,因為它提供組織評估、證明符合資料保護法案 (1998)的方法。
Mike Low表示「我們主動與資訊委員會,以及許多其他當地與全球的利害關係人合作,擬出一系列全方面的標準商務工具,這些工具不但能提供建議,還能在資訊安全方面提出最佳範例的有效執行方法」。
「對任何企業來說,重點在於確保並非僅是採用標準來管理這樣的風險,另一方面也要確保透過獨立、定期的稽核,有最新的程序與能力的評估,將標準與組織與實際做法融合」。
如欲知資訊安全或資料保護標準的其他訊息,請造訪www.bsigroup.com/britishstandards
- 本文完-
註1.:2006年,有62%企業組織被報導資訊安全出現問題- 摘自資誠會計師事務所全球聯盟所PricewaterhouseCoopers (PWC) 所提出的2006年資訊安全破壞調查報告。
