RUN!PC｜即時新聞｜資訊安全｜NCC擬修法強制資安認證電信業者反應不一

NCC希望透過增修電信法，強制電信業者取得ISO27001認證，估計明年法條便能通過，屆時NCC將能就電信業者所提的認證實施作業範圍進行審查，並對於認證範圍提出具體規範。

近來電信業者採用中國華為設備，衍生不少資通訊安全疑慮，國家通訊傳播委員會（NCC）為此要求電信業者加強資通訊網路安全管理，並嚴格管控資訊安全，進而取得ISO27001認證。

NCC技術管理處副處長羅金賢表示，目前NCC採自願方式，建議各家電信業者取得ISO27001認證。不過已針對電信法研擬草案，希望透過修法強制電信業者取得ISO27001認證，估計明年法條便能通過，屆時NCC將能就電信業者所提的認證實施作業範圍進行審查，並對於認證範圍提出具體規範，其實電信業者如中華電信、遠傳、台灣大哥大都已通過ISO27001認證，但認證範圍不一，希望電信法修法後，能改善此現象，加強整體資通訊安全管理。

中華電信總公司資訊處科長陳豐盛認為，其實早在NCC宣布前，電信業者多已自主申請ISO27001認證，中華電信目前有8張涵蓋不同範圍的認證，居電信三雄之冠，由於驗證程序至少要3個月到1年不等，而中華電信業務面向多元，要求全單位通過認證並不符實際，再者營運風險與成本也必須納入考量，因此中華電信主要是加強對外服務面的資訊安全管理。

陳豐盛舉幾個實際通過認證的系統與業務來說明，如行動通訊分公司帳戶系統、北區電信分公司訂單系統、帳務系統、帳單印寄系統等都是與客戶個人資料相關，而數據通信分公司IDC業務和SOC業務則分別牽涉機房安全與資安維護，這些都必須嚴加控管。

不過對於NCC有意將ISO27001認證納入管制範圍，陳豐盛認為沒有必要，因為各家電信業者競爭激烈，為了提供更好的服務品質以滿足顧客需求，一定會重視資安管理，而NCC所要做的，應該是維持公平競爭環境，讓各家電信業者針對實際需求決定是否認證以及認證範圍，否則將落入為認證而認證的思維。他強調資安管理做得好不好，與是否通過ISO27001不一定相關，反而是內部自行稽核動作應確實，如此才能及時發現問題，並盡快解決。

而遠傳目前有2張ISO27001認證，範圍涵括電信用戶門號開通與IDC機房，對於NCC明年可能強制ISO27001認證一事，遠傳表示NCC 為電信業之主管機關, 基本上他們會遵循 NCC 之要求，擴大認證範圍。

NCC營運管理處簡任技正梁溫馨則表示，一般電信業的內部維護系統與外部用戶系統不同，不會對外連結，即使被安裝間諜程式，資訊也不會傳出，反而是其他營運範圍，如機房人員管制與維運程序，應嚴加管控並留下紀錄，以便查核。

英國標準驗證協會副總經理蒲樹盛則認為，目前電信業多從IT角度去思考ISO27001認證範圍，這也是無可厚非的，但今後在談資安管理時應將高度拉到整體企業架構，包括目前門市管理、實體紙本資料、基地台、工程設備等環節都應納入規劃，對於政府欲立法強制認證一事，他表示主管機關願意出面積極管制應給予鼓勵。

回首頁...

關於RUN!PC｜廣告刊登｜聯絡我們｜讀者服務｜雜誌訂閱｜出刊&補寄時間