遠東商銀、第一銀行通過ISO 27001三年重新驗證
文/黃彥棻 (記者) 2009-10-22
http://www.ithome.com.tw/itadm/article.php?c=57503
對銀行業而言,ISO 27001資安驗證不只在內部IT流程有幫助,對企業銀行也有正面意義。因而業者都願意繼續取得ISO 27001驗證
為了砥礪企業持續在資訊安全上政策與作為上的精進,ISO 27001資安驗證在3年到期後,企業都必須進行資格完整複審一次,才可以能到第二次的資格驗證。臺灣銀行業者中,已有遠東商銀、第一銀行第一個3年資安驗證資格到期。這兩間銀行表示,因為通過ISO 27001對公司營運以及IT整體管理有大的成效,驗證到期後,都決定重新複審資格,持續取得ISO 27001資安驗證。
臺灣BSI副總經理蒲樹盛表示,以驗證公司立場來看,目前多數先前取得ISO 27001資安驗證的企業,在3年認證到期後,若沒有IT預算的壓力,多數都會重新驗證、取得第二次的3年認證資格,只有少數因為公司支出刪減,或者是當初只是為了虛應故事的單位,不會繼續取得驗證。他認為,這除了證明企業普遍重視資安外,更證明資安已經是企業營運的重要關鍵之一。
遠東商業銀行在今年6月,通過ISO 27001三年到期後的重新審驗。遠東商銀資訊管理處處長邱維川表示,金融業高度依賴IT提供各種服務,遠東商銀選擇導入ISO 27001,就是希望能提供一個內部包含IT甚至是金融產品開發上,做到安全又符合標準的作業程序。
他說:「當所有開發流程作業程序很清楚,許多產品、系統規畫和建置的時間,因為有遵循的標準,反而可以縮短開發時間、更有效率。」邱維川以2008年統計數據為例,導入ISO 27001後,作業系統與服務效率整體提升40%,系統中斷服務時間(Downtime)也大幅減少。
ISO 27001資安認證對於遠東商銀在香港分行業務拓展上,幫了很大的忙;但對內部同仁而言,因為相關管控措施已經內化到每日的工作流程,同仁不僅有同樣溝通語言,對自己的角色扮演與權責更為清楚。他認為,這些都有助於遠東商銀同仁對內、對外提供服務時,在資安上把關。
第一銀行資訊中心副總經理柯明川指出,一銀今年7月通過ISO 27001重新驗證,回首過去3年,一銀不僅大幅提高內部IT資安控管能力,對於銀行業務發展上,例如海外分行作業集中化或者新業務的申辦,都產生極高的效益。
他說,第一銀行在今年初就提出「ISO 27001三年重新驗證專案」,在ISO 27001驗證到期後,還要通過重新驗證。柯明川指出,取得ISO 27001後,對於一銀在Open Server實體管理上,有很大的進步,「連資訊風險更是逐年下降20%,」他說。
ISO 27001最大的效益反而是有利於第一銀行許多海外分行業務的推廣與申請。柯明川指出,海外分行連線作業要集中回臺北,甚至是海外分行要增加網銀等新興業務,當地政府都是因為看到一銀已取得ISO 27001認證,而同意一銀可以開辦相關業務。
第一銀行系統開發處副處長陳淑峰補充表示,金融業要申請或新增業務時,經常需要舉證公正第三者審查通過的標準,像是今年8月紐約海外分行要連線回臺北,也是因為第一銀行提出ISO 27001資安驗證的客觀標準,才得以順利進行。文⊙黃彥棻
沒有留言:
張貼留言