RUN!PC｜即時新聞｜資訊安全｜電子商務業者都沒過ISO27001資安認證

由於電子商務的主管機關商業司並沒有對於業者採取資安政策上的強制要求，並且大部分的消費者也不懂得要求業者，所以在沒有驅動力的情況下，BSI英國標準協會副總經理蒲樹盛語出驚人指出，目前國內知名的線上購物業者，及上市的遊戲公司都沒有通過ISO27001認證，所以在發生資安事件時，許多案件最後都淪為缺乏證據力而不能法辦的窘境，致使消費者權益直接受到損害。

你相信嗎？台灣大多數小額付款、線上遊戲與線上購物公司都沒有通過ISO27001認證。

去年9/27，知名家居賣場HOLA在凌晨與DELL一樣發生網路賣場標價錯誤事件，引發網友的搶購潮，換算成損失金額至少高達6兆40億元，但在第一時間，HOLA卻將責任全數歸咎為駭客入侵事件，據了解，HOLA有報警但是並沒有提供電腦紀錄(Log)，所以警方也無從查起，最後事件就不了了之。BSI英國標準協會副總經理蒲樹盛說，如果企業導入ISO27001，認證規範中就會要求，企業必須要有紀錄(Log)的備援機制，而且還要有防止竄改的政策。

不過，由於電子商務的主管機關商業司並沒有對於業者採取資安政策上的強制要求，並且大部分的消費者也不懂得要求業者，所以在沒有強制驅動力的情況下，電子商務業者自然而然不會主動去申請資訊安全的相關認證。蒲樹盛說，目前國內知名的線上購物業者，及上市遊戲公司都沒有通過ISO27001認證，也就是說，在發生資安事件時，許多案件最後都會淪為缺乏證據力而不能法辦的窘境。

剛取得ISO27001認證的台灣碩網資訊技術處資訊安全部主任賴居正表示，也許媒體會覺得他們取得認證的時間有點晚，但是據他所知，目前跟台灣碩網相同等級的IDC或電信業者，還沒有一家取得ISO27001的認證。

也有不少消費者將希望寄託在還躺在立法院的個資法身上，不過蒲樹盛也提醒，台灣的個資法並不符合OECD的原則。

針對台灣個資法的不足之處，蒲樹盛舉三個例子，分別為在資料控制者上沒有規範，也就是沒有明訂負責個資法的主管機關，其次是在資料流上的管制紀錄也沒有規範，也就是沒有制定要有資料的紀錄歷程，最後，對於跨國資料的移轉也沒有制度，沒有規定企業不能直接移轉客戶資料，而必須取得客戶的同意。

回首頁...

關於RUN!PC｜廣告刊登｜聯絡我們｜讀者服務｜雜誌訂閱｜出刊&補寄時間