摘要
國際保險理賠業的領導企業之一已同時獲得兩個重要的風險相關管理系統標準驗證,是全球第一個達到這項成就的企業。
這個在管理系統驗證上領先同業的全球性企業就是英國Audatex公司,這家公司與英國標準協會BSI管理系統合作,取得了國際資訊安全標準ISO/IEC 27001以及最新的營運持續管理標準BS 25999的驗證。
背景
Audatex是英國領導市場的電腦化保險估算及理賠管理解決方案提供者,該公司與保險業者、美體商店及馬達製造商合作,快速有效地解決保險理賠問題。
Audatex公司總部位於伯克郡(Berkshire)瑟勒市(Theale),隸屬於全球Solera企業集團,主要業務是提供創新的解決方案給分散在六大洲、五十多個國家的顧客。
驅動因素
Audatex的IT服務主任Ross McEleny表示:「從業務發展的角度來看,我們有很強烈的理由要取得這兩個標準的驗證,我們亟欲向所有利害關係人及客戶證明我們採行營運持續及資訊安全管理最佳實務的積極態度。我們做出了大膽的決定,要成為全球第一個同時取得這兩項標準驗證的組織。」
涉及哪些事項?
為了協助進行嚴格的評估,Audatex與奧提瑪風險管理公司(Ultima Risk Management, URM)合作,這家公司的專長是提供資訊安全及營運持續管理的顧問服務。
整個專案始於風險評估。奧提瑪風險管理公司的業務發展主任Lisa Dargan解釋道:「以BS 25999來說,資深經理人被問到如果無法維持關鍵的活動,他們認為公司的營運可存活多久,而ISO/IEC 27001是關於評估資訊安全遭受破壞的衝擊——涉及資訊機密性、完整性或可用性的喪失。在評估業務影響後,我們便能檢視可能導致這些影響和妨礙復原過程的風險。」
Audatex資訊安全經理同時也是專案負責人的Paula Robinson相信這項活動是無價的:「這兩項風險評估並沒有產生什麼真正令人訝異的結果,但它們都提供了以前從未達到的整體觀點,讓我們能夠制訂風險策略的優先順序。」
從兩項風險評估確認的關鍵議題之一是單一的失效點(single points of failure),這使得Audatex備妥更詳細的程序文件以及知識移轉活動。Audatex也採行各項措施,讓第三方提供的服務和資訊擁有更大的彈性。此外,新供應商現在也必須從事盡職調查(due diligence)活動,同時本次稽核亦突顯了存取控制必須更嚴格執行,因此公司引進了新的接近存取卡(proximity access card)讓員工使用,並實行電腦螢幕上鎖政策來提升安全性。
利益
雖然要同時取得兩項標準的驗證會帶來某些艱困的挑戰,但好處之一是能夠在全公司實行整合的管理系統,這補強了公司實行的Sarbanes-Oxley控制架構,以及在顧客服務和IT功能部門採行的ITIL(IT Infrastructure Library, IT基礎架構庫)和ITSMS(IT Service Management System, IT服務管理系統)。所有這一切都遵循相同的程序文件、可歸責性及健全的稽核軌跡存底原則。
BSI管理系統的英國風險標準產品經理Julian Thrussell評論道:「Audatex提早決定要結合兩項標準的實行,因此大幅降低了時間管理費用。此外,BSI有能力提供訓練有素的稽核人員將各部分加以整合,這對整個過程也是很有助益的。」
Thrussell繼續說道:「Audatex高階管理階層的投入和支持為整個行動注入了真正的刺激和動力,稽核人員打從一開始就看出這一點。一家公司有時會因為它的態度和成功受到注目,而Audatex有正當的理由為自己達到的成就感到自豪。」
結語
「身為全球性的理賠解決方案提供者,我們在資訊安全及營運持續層面上向來以最高水準運作,」英國Audatex公司的總經理Paul Tucker表示。「我們是全世界第一家同時獲得ISO 27001及BS 25999管理系統標準驗證的公司,這是一項重大的成就,它是支撐我們持續改善策略的基礎,而且證明了我們有能力藉著採行國際公認的營運標準來領導同業。」
同時,在這六個月的計畫中讓Julian Thrussell感到印象深刻的還有Audatex管理階層對於驗證過程的大力支持,以及來自各層級員工的熱烈回應。如今Audatex的新進員工必須完成BS 25999及ISO/IEC 27001的認知講習,這是他們正式加入公司必經的過程,公司的資訊安全以及營運持續管理也因此更為強化。
Julian Thrussell總結道:「這是了不起的成果。任何組織只要能達到其中一項標準便已值得歌頌,Audatex能夠同時完成兩項確實是相當輝煌的成就。」
