【轉載】ithome：在資安認證基礎上強化IT服務品質 - 資策會科技化服務（ITES）

		資策會科技化服務（ITES）
		市長：Champion 　副市長：
		加入本城市｜推薦本城市｜加入我的最愛｜訂閱最新文章

udn／城市／資訊科技／網路分享／【資策會科技化服務（ITES）】城市／討論區／

你還沒有登入喔( 馬上登入/ 加入會員)

本城市首頁

討論區

精華區

投票區

影像館

推薦連結

公告區

訪客簿

市政中心 (0)


討論區／IT相關標準	字體：小中大

【轉載】ithome：在資安認證基礎上強化IT服務品質
瀏覽767｜回應0｜推薦0


	Champion 等級：6 留言｜加入好友

http://www.ithome.com.tw/itadm/article.php?c=56179

在資安認證基礎上強化IT服務品質

文/黃彥棻 (記者) 2009-08-04

行政院資通安全會報技服中心在ISO 27001基礎下取得ISO 20000，同時因應原本資安認證範圍規模擴大，取得ISO 20000同時，則針對相同認證範圍，進行ISO 27001認證

負責政府部門資訊安全最重要的單位——行政院資通安全會報技術服務中心，原本就已經在2002年率先取得BS 7799的資安認證，並於2005年取得ISO 27001轉版後的資安認證。

資通安全會報技術服務中心主任劉培文表示，由於技服中心必須承擔越來越多政府資安的責任，必須做到快速回應外，也必須兼顧使用者對於IT服務品質的滿意度。因此，技服中心在ISO 27001資安認證的基礎上，進一步取得ISO 20000的IT服務品質認證。

在資安認證基礎上導入ISO 20000
萬事起頭難，行政院研考會資訊處處長何全德表示，取得認證只是機關單位朝向目標前進的第一步，更重要的關鍵，則是如何將相關的觀念與行為準則，內化到每一個人的行為裡。「不只是ISO 27001資安認證是如此，連ISO 20000也是如此。」何全德說道。

技服中心從2000年1月成立，2002年取得BS 7799資安認證，一直到2003年8月發生了大規模的入侵事件，許多機關網頁的首頁被置換，讓技服中心體認到，除了做到資安系統的防護，還必須要做到端點和使用者安全的防護。為了達到這樣的目標，技服中心也在2004年成立的國家資安監控中心（NSOC），在2005年成為全球第一個發現微軟 Office零時差（Zero Day）漏洞的資安組織，也同時對公務人員進行社交工程演練。

技服中心在2005年取得新版資安認證ISO 27001之後，大體的資安防護運行一切如常，但隨著資安環境的複雜化，例如傀儡電腦的組織化，甚至是今年上半年發生的鬼網（Ghost Net）事件，技服中心也逐步發展自己的資安技術。

也因為技服中心一直在資安的基礎上，提供對政府各部門的資安防護，劉培文說，技服中心也感受到其他政府單位對於IT服務品質的要求。因此，劉培文決定在既有ISO 27001資安認證的基礎上，導入IT服務品質認證的ISO 20000。

心態與思維轉變是第一步
技服中心導入ISO 20000的招標案，在2008年8月以限制性招標的方式決標。依照決標公告內容，由安侯企管公司（KPMG）以520萬元取得該標案。

技服中心整個ISO 20000的建置與導入顧問服務的時間，大約從2008年7月開始，直到今年5月為止。負責技服中心ISO 20000建置與顧問服務的安侯企管資訊科技諮詢服務協理林義富表示，ISO 20000的標準是靜態的，所有的問題都在於該組織如何真正落實ISO 20000的標準。

技服中心雖然是以全組織作為ISO 20000驗證的範圍，但林義富認為，技服中心服務的7千多個機關單位，形式上，其實都囊括在技服中心ISO 20000的驗證範圍內。

劉培文坦言，為了縮短資安通報應變處理的時間，監控重要機關的國家資安監控中心（NSOC）24×7的全年無休，甚至是做到各種資安情報蒐集與加值，讓客戶滿意，因此，技服中心必須以系統化的方式，調整技服中心的各種資源配置，降低在變更過程中帶來的潛在風險與衝擊，最重要的是，必須要能建立一致的管理組織與制度。「導入ISO 20000不只是單純為了取得一個認證而已，」他說，內在IT服務品質提升才是重點。

「組織文化的轉型，是技服中心導入ISO 20000過程中，最困難的挑戰之一。」劉培文表示，ISO 27001和ISO 20000兩者的思維雖有重疊，但仍有本質上的差異，如何兼顧資訊安全、流程標準化，並保持高效率，打破原本只有資安的思維，加入IT服務品質的觀點，首先就是得改變原本的心態與思維模式。

範圍和驗證規模變大，組織與流程調整緊跟在後
行政院資通安全會報技服中心組長兼專案經理黃小玲表示，技服中心從2002年全單位只有41人，到2009年全單位人數增加為81人。她說，若以2009的業務量與2002年相比，業務成長7倍，但光是2009年與2008年相比，2009年的工作項目服務類別，就比2008年多一倍。

因為組織規模整整增加一倍之多，技服中心也意識到原本2005年取得新版ISO 27001認證的規模，已有很大的差異。為了做到名實相符，劉培文決定，在取得ISO 20000的同時，也重新取得ISO 27001資安認證。

第一件事情就是組織調整。ISO 20000和ISO 27001彼此有交集，ISO 27001垂直貫穿不同層次的資安議題，而ISO 20000不同活動流程中，也都分散有資安需求。林義富表示，這兩種制度交集，在整合上勢必出現問題，也會對現有組織運作與制度產生衝擊。

林義富說，技服中心先進行全面性的資訊服務管理流程成熟度指標的評估後，便針對現有的組織架構進行微調，可以分成管理組織和作業程序兩部分。

就管理組織而言，林義富說，根據ISO 27001的標準規範，該組織必須設立一個管理稽核、文件的管制小組，但同樣的，在ISO 20000也有文件管理的需求，兩者如何做到工作內容與表單的整併，就是正式進入ISO 20000導入期的重要關鍵。

至於在作業程序方面，林義富表示，原本的文件發行管理辦法必須要微調。舉例而言，ISO 20000必須依照各個工作項目訂定SLA（服務等級協定）以及績效評量指標（KPI），是跨流程、主動的風險管理；但在ISO 27001中，相關的KPI卻各自獨立，是單點被動的風險管理。因為技服中心必須做到同時兼顧ISO 20000和ISO 27001的規範，因此ISO 20000的想法必須帶入ISO 27001的流程和表單規範中。「這算是強化作為，設計上並沒有衝突。」他說。

黃小玲表示，ISO 27001施行在前，技服中心的作法就是以ISO 27001的表單規範為基礎，加入ISO 20000的規定，這個步驟也是ISO 20000導入過程中，較為容易的部分。

做好組態管理最難
而在ISO 20000導入過程中，最困難的則是做好組態管理（Config Management）。

林義富表示，組態管理幾乎是ISO 20000的最難的核心項目之一，如何以ISO 20000為核心，掌握服務文件的關聯性，首先就必須先做一次全面性的資產管理盤點。「這不只是單純條列式的資產管理，必須改以維度管理的方式，來做資產管理。」林義富說，這也是最難的部分。

舉例而言，以往盤點電腦資產時，除了盤查採購日期、使用年限、經費來源、產品規格和使用者等項目外，要符合ISO 20000組態管理的要求，還必須進一步盤點這臺電腦的關聯性，大從這臺電腦位於公司哪間機房的哪一個機架、由哪個部門負責，提供哪些服務，小到這臺電腦包含哪些系統，使用哪些網域和網段，都必須清楚記載下來。他表示，這種從單一面向的資產盤點，到多面向、立體的資產盤點，是各個企業組織在進行ISO 20000資產盤點時，會遇到的最大挫折。

黃小玲則認為，這樣的資產盤點其實是從系統管理者的角色來看。之所以要做到這麼詳細、關聯性的資產盤點，甚至要做到文件化，就是考量「如果系統管理員一旦不在時，其他的同仁，是否可以就既有的文件資料，完成相關任務。」她說，這個資產盤點的過程，就好像是在重重黑幕中，一點一滴的慢慢釐清不同系統之間的關聯性，建立彼此的交集。

在整個資產盤點的過程中，黃小玲不諱言，的確遭到一些技術人員質疑是否有成效。因為，對於系統管理員而言，他很清楚相關的主機和系統內容為何，但要把所有主機系統的關聯性全盤文件化，必須在既有的工作時程中，再花時間完成這樣的任務外，這樣的盤點內容，還必須和網路管理員合作，並制訂相關的量化指標和畫出關聯圖。

這個最耗時、花心力的工作，技服中心花了半年的時間（7月～12月）完成。

做完組態管理後，技服中心也採購一個標準化的自動組態管理工具，將先前完成盤點的資料，輸入該系統中。黃小玲表示，這些資料輸入組態管理的系統中，會產生許多流程指標，雖然人員多少要牽就新採購的組態管理系統，「但若以標準化、自動化的觀點考量，採購組態管理工具仍有其必然性。」她說。

技服中心目前是全臺灣第16個取得ISO 20000認證的單位，劉培文表示，因為技服中心驗證範圍變更，人數和服務內容也暴增，為了讓ISO 20000和ISO 27001的驗證更符合現況，技服中心通過ISO 20000認證的同時，也以同範圍取得ISO 27001資安驗證。文⊙黃彥棻

引用網址：https://city.udn.com/forum/trackback.jsp?no=54653&aid=3587837

粉絲團