面對後疫情時代資安治理與挑戰,2022年起資安領域即將發生的,是眾人矚目的ISO/IEC 27001改版,資通安全法對政府機關要求與日俱增,以及金融機構要進行資通安全法的驗證。就在此時,劉卜瑞(Brad Liu)接下職責,成為BSI 台灣ISO/IEC 27001資訊安全產品經理。
Brad在進入BSI之前,先後服務於會計師事務所、顧問服務及內部稽核人員,對於執行財務報表審計、執行查核、資訊系統內控制度診斷與稽核,以及企業內控制度查核,實力具足。訪問Brad的過程,聽他謙和有禮,對迎面而來的情勢與棘手的問題,皆能以簡馭繁,從而理出最即時需要的事項做回應。要擔下BSI在台灣多年耕耘的資安品牌,壓力期許一定,但聽著Brad整理敘述,在在感受他準備落定。面對時代趨勢與潮流,如何承先啟後,讓ISO/IEC 27001繼續協助產業,在沒有終點的資安進程中找到指引,透過本次專訪, Brad與電子報讀者分享。
依客觀證據進行稽核 提升溝通高度支持資安運行
Brad於2018年4月進入BSI台灣,當初由前職場的老闆同事口中,得知「BSI是一個對個人職涯發展,以及眼界與歷練都很有幫助的工作場域」。被問及剛轉換跑道時最大的適應為何,Brad表示,第三方稽核無法帶入自己主觀的意見看法,任何稽核上的發現都是基於準則。關於職場轉換差異,Brad更想分享的是,進入BSI擔任稽核員,有機會在日常工作中頻繁見到各公司高階主管,如何讓客戶高階了解資安管理的重要性,使其願意提供資源讓旗下的執行人員得以順暢運行,是Brad認為進入到BSI歷練最多成長最多之處。Brad說,ISO/IEC 27001是管理系統國際標準,稽核員要有能力從「這樣執行對公司有沒有幫助」以及「這樣執行和投入資源兩者間是否達到平衡」去思考。要掌握ISO/IEC 27001協助不同規模組織做好資安管理的標準精神,是Brad認為無論原來專業背景訓練為何,進到BSI成為稽核員必要做的調整與學習。
且談ISO/IEC 27001最新版本變動
ISO/IEC 27001可說是陪著台灣從產官學界,步步打下資安管理基礎,甚至延續到法令法規的起草訂定與發展,因此任何變動都會引起關注。眾人皆引頸期盼,預計今年10月ISO/IEC 27001資訊安全管理系統國際標準改版正式公布。2022年版只有4大分類,相較2013年版有14個分類,看似變動很大,但其中所有的條款內容並沒有太大的差異,都是在原來標準就有的概念上,而就後疫情時代的來臨作更積極回應,依序分類整理:
- 組織更積極關注有哪些危險,需要搜集回應。
- 雲服務資安要求,組織也須關注。
- 針對個資、隱私需求的要求。
在今年新版的ISO/IEC 27001中,面對愈發頻繁的駭客攻擊,組織需要知其管道、原因為何,及如何防禦;針對個資隱私資料該如何做遮蔽處理的條款,包含如何做資料刪除與資料外洩的防護;亦考量當下許多單位使用語音服務運作系統,新版也包含對語音服務的要求。Brad表示,2013年至今,ISO/IEC 27001的確也到了要改版的時候[1],而上述2022年版將近年關注的議題都放入工作措施,而這些領域企業組織也都有在努力,只是更具體的以條文說明,使組織更有「要怎麼實施」的作法,在請高階提供資源上也更有著力的依據。
[1] 更詳盡了解ISO/IEC 27001改版細節與進程,可參閱《2021 BSI 國際資安標準管理年會會後報導 - 你最想知道的 ISO/IEC 27001 動態》。
後疫情時代觀察:「人的議題」升高,ISO/IEC 27001的助益與產業趨勢
疫情以降,各個產業先後面臨遠距上班環境的建立,緊接著釣魚信件、垃圾簡訊接踵而來。過去同在一個工作場域辦公,至少能立即確認收到的信件訊息是否為真;而今遠端工作易使聯繫出現落差,訊息確認SOP還未設立但員工已被釣魚;隨著社群軟體發達,在工作場域加班拍照,背景的公務電腦螢幕中客戶資料無意間被洩漏也時有所聞──人為操作失誤,已佔近年取樣分析的資安事件原因的20%。Brad指出,後疫情時代,「人的議題」的重要性高升。除了內部人員,外部供應商的管理也是一大挑戰:同樣隨著疫情起伏,組織需開通道使供應商進行遠端服務執行,但也容易造就駭客從供應商端切入的風險。
喜見許多客戶高階向BSI回饋:「資安做到最後一哩路,如何完善在人」。Brad劃重點:「人的認知」是ISO/IEC 27001很重要的觀念,要佈建惡意軟體防護措施,同時要有回復正常的技術和能力,最後要有適當人為的認知,才能做好條款要求。進入後疫情時代,ISO/IEC 27001要如何支持產業處變不驚?Brad回到本質說明,ISO/IEC 27001旨在協助組織管理好不受非預期性的衝擊,系統導入並非從此不會有資安事件的發生,而是透過PDCA的循環,持續看到有否需要關注的新風險,當資安事件真的發生,能否在組織能接受的時間內快速回應,恢復到正常管道上,這是Brad認為ISO/IEC 27001對組織在後疫情時代最大的幫助。
另外,相較於五年十年前在資安就做得先進的金融產業,Brad也觀察到近兩三年來,傳產領域高階的資安意識也提升接軌:以國人熟知的老品牌「奇美」為例,願意花一年的時間學習準備、上千萬的預算建置機房設備、專門人員的招聘、自發性的要把ISO/IEC 27001導入組織,實屬難得。Brad表示,在沒有法令與客戶強制要求下,越來越多傳產界主動投入資源想把資安做好,也從中看見台灣產業令人驕傲的進步與韌性。
自我養成與期許
Brad在此時接下ISO/IEC 27001產品經理的職責,Brad感謝公司安排了兩位副產品經理協助,如何展現公司期待看到的領導統御與管理能力,與兩位副產品經理合作的三人小組如何將產品規劃推廣,與公司內部協調;資深前輩們也要將擔負的重責,逐步遞交到中生代稽核員身上,Brad娓娓道來,每一項都是挑戰,他也都預期面對。關於想要成為什麼樣的ISO/IEC 27001產品經理?「期許各部門都覺得自己是好溝通、也相當具專業能力的ISO/IEC 27001產品經理」Brad的回應具體友善。
工作與休閒喜歡的事
擔任BSI訓練課程講師的過程中,透過學員發問,對條款精神有不同以往的見解和想法,令自己反思與學習,是Brad喜歡的事。Brad還喜歡的,是假日時和朋友去爬山,呼吸新鮮空氣看看美麗的景色,是Brad紓解壓力的休閒活動。Brad客氣的說,自己都是爬郊山,像是台北大縱走的路線,不若BSI有些同仁都是百岳山友;有時爬的過程很累,但上到山頂看著眼前的風景,一切都值得了。
