繼上次提到ISO27000系列的簡短介紹,以及ISO27001主要內文項目,但是為甚麼要導入這項國際組織標準? 是這次文章闡述的主旨。
ISO27001身為資訊安全管理系統(ISMS)最流行的認證標準,不儘可以協助使用者(企業)保護資訊的機密性(Confientiality)、完整性(Integrity)及可用性(Availability),也可以因著這些標準流程的建立而得到其他好處。但是哪些好處是執行此套標準可以使用的呢? 正所謂殺頭的生意有人做,賠錢的生意沒人做,任何企業決策不會帶來商業利益、不會替公司賺錢,是絕對推動不了得(p.s. 不賺錢、又沒有投資效益的,就算推動了也只是曇花一現)。因此,筆者嘗試歸納執行此認證的好處分成開源節流兩部分。
節流 - 降低營運成本:
提升管理效率 - 由於ISO27001內部對於資訊安全的權責與定義提出許多規範,想獲得認證的組織勢必得釐清內部的資安專責人員與團隊,在資訊安全風險評估、處置與檢討改進上才能符合標準。如此一來通過標準的架構,也可以將先前無效的作業程序或是不必要的步驟刪去或改良,進而降低資訊安全被侵害的風險。
符合政府規範 - 既然資訊屬於有價值的資產,各國政府也陸續針對資訊安全做出最低限制的法律規定,而國際標準的資訊安全準則自然是超出最低限制。如此可以避免資訊安全出現漏洞時,造成的罰鍰、罰金,甚至是賠償金額費用。
開源 - 提升客源:
客戶信任度 - 光是國際標準這四個字就夠當招牌了,直接企業規模加三級的感覺。有了相對客觀與嚴謹的標準認證,客戶在選擇合作企業時自然也比較放心。講現實一點,就是哪天真的資安出事了,兩邊合作窗口都有國際標準的免死金牌可以放在口袋,當然選擇你囉。
打進國際市場 - 國際標準除了走在時尚的尖端(誤),更提供國際間的企業有一個穩定的交流與參考基礎。畢竟各國的法律多少會有些出入,但是循著國際標準的使用,如同ISO的精神一樣(isos),大家都是平等的,更可提供國際企業看見自己的機會。