莊友豪(Kelvin Chuang)│BSI台灣ISO 22301營運持續產品經理
責任編輯 徐瑋琳 採訪撰文 鄭詠中 校正修訂 林莉敏
成為BSI稽核員以來,莊友豪(Kelvin Chuang)致力於服務驗證客戶,使企業組織的資安管理持續改進,並取得多個主導稽核員資格[1],訓練課程更受各界學員好評。2022年12月27日,金管會為確保金融系統營運不中斷,發布「金融資安行動方案」2.0版,將「深化核心資料保全」與「營運持續演練」納入重點,本次BSI台灣電子報採訪Kelvin,正逢ISO 22301(BCM)於時代浪潮,業界循法遵與標準要求落實演練找出風險,Kelvin更點出藉由ISO 22301營運管理視角,檢視組織橫向合作,強化組織韌性,使衝擊發生時,從緊急應變到營運恢復,皆能臨危不亂有所憑據,真正掌握營運不中斷的核心能力。
[1] ISO 27001資訊安全管理、BS 10012個資管理、ISO 29100資訊安全技術-隱私框架、ISO 22301營運持續管理、ISO 27017/27018 雲端服務之資安與個資保護,以及CAS STAR雲端安全認證,為Kelvin目前取得的主導稽核員與驗證資格。
訓練養成 直面挑戰的BSI稽核員
Kelvin在研讀碩博士班時期,即帶著學生與產業間做交流研究,博士後時期繼續累積經驗,隨後帶著將數位專業知識用於產業主導稽核員資格[2],於2015年順利進入BSI任職。即便擁有豐富的學術知識背景,Kelvin仍積極參與公司相關的訓練課程,取得資訊安全相關包括「資安」、「個資」、「雲端」和「營運持續管理」的主導稽核員資格。Kelvin虛心分享:每回從學習到熟練都是挑戰。即使初期面對客戶會遭遇不少困難,所幸靠著強大的心理素質,和BSI稽核員間相互幫助的良好企業文化,得以向前輩學習不少實務經驗,再透過一次次的厚實累積,訓練養成直面挑戰的BSI稽核員,與團隊共同將專業的一面呈現給客戶,協助順利完成稽核,並讓客戶對BSI的稽核品質感到滿意
[2] Kelvin就讀博士班期間即擔任長庚大學「資訊與醫療安全學程」與「RFID 物流與供應鏈應用學程」講師,博士學位取得後,並持續在「電子商務」與「雲端運算」領域傳授知識,教學與研究經驗豐富,以資訊技術、使用者行為研究、多媒體人機互動介面設計為主要研究議題。
與業界一同持續累積 從營運高度整合的ISO 22301
疫情初降臨的2020年,BSI電子報訪問了當時ISO 22301產品經理,廣受客戶學員喜愛的資深稽核員楊文蔚(Wayne Yang),猶記得文中提及「從沒有一個時代像現在,這麼需要ISO 22301 營運持續管理系統」。到2022年底,主管機關直接以行政命令,先鼓勵再階段性強制規定,要求一定規模以上的金融單位通過 ISO 22301驗證,然而現階段業界對ISO 22301普遍知道要做但卻是相對陌生的,除了標準內容和執行實務,也想了解稽核員的觀點。
Kelvin說,稽核員的價值在於用不同的角度,從日常作業流程中看見客戶沒有察覺的風險;而標準從問世到推廣,由BSI和業界共同實作驗證並累積經驗,讓標準能更好的適用於各產業,最大化標準的效能。Kelvin明白持續討論與溝通,是ISO 22301共識在凝聚階段的必經過程,從Wayne手中接下產品經理獨當一面起,謹記的是把稽核的視角往上拉:「ISO 22301以營運高度切入,以金融單位為例,訓練與稽核範圍從資訊、資安到業務甚至公關都會包含進來,雖然各部門平時各有各的運作立場與角度,既然以營運為前提,也都來上課了,就是組織準備好要把制度架構起來。」橫向溝通在組織內向來有難度,Kelvin舉ISO 22301在歐美驗證案例多,除了順應環境瞬息萬變為營運持續做準備,亦看重標準由營運高度審視組織韌性的作用。
演練之必要 風險無所遁形
「演練」是ISO 22301營運持續條文要求,主管機關將「營運持續演練」列入法令重點,金融單位風險屬性高,驗證如果只做書面報告審查難以確保落實,需要說服客戶進行演練才行。請教Kelvin稽核演練現場遇過的情況為何?「系統切換切不過去」Kelvin親自就看過兩次,問題來自新機上線還未演練過,好險有事先稽核,不然就等著事件發生上新聞。一旦執行過一次,客戶感受到演練之必要性,甚或後續拜訪,都會主動邀請稽核員協助看演練,覺得專業值得信賴,並於業界口耳相傳,BSI名聲響亮是有所堅持來的。
Kelvin說當衝擊事件真的發生,壓力最大通常會是在主管身上,因為啟動備援有其切換成本,主管難做決定。而目前多數演練設定在事先規劃的狀態下作切換,期許未來組織在不影響實際營運情況下,能切換於備援環境運行一段時間後再切換回來,確認資料是否都能安全移回,使「深化核心資料保全」能周全到位。
會緊急應變不等於營運持續
ISO 22301從營運高度內含很多角度,從資訊安全出發到各項現場操作,以及發生事件後續相關處理活動。Kelvin分享曾替客戶做備援檢視,發現其備援是以自家兩個廠互作設定,如此需考量兩個廠的生產線規模是否相同,客戶在簽約時都會對生產線規格明確要求,但一般人的概念都還停留在「緊急應變」,沒有能力做到「營運持續」,一旦突發事件發生,即使危機處理救災完畢,如何後續將產能調整,資源配款配給,ISO 22301剛好就是提供當事件發生時所有的配套處理,也是組織重要的命脈。抱著「運氣不會那麼差」的想法是人之常情,然而當營運中斷發生時,很容易就會讓人措手不及。
稽核員Kelvin的休閒時光
聽Kelvin談ISO 22301,從標準價值到稽核現況,內容精彩緊湊,該是請教工作之外,Kelvin的休閒時光都在做什麼?沒想到Kelvin回答得毫不猶豫:「睡覺、看電視、喝手搖飲。」問他會不會想去爬山、打球和潛水?「不會」答得也是如此坦率沒有包袱。不過意外得知Kelvin的太太比Kelvin還要宅,賢伉儷假日有空就喜歡待在家小酌,陪太太回娘家時也會陪老丈人喝一杯,如此溫暖又般配,真是讓人喜歡。
