在優利,資訊安全是關鍵

優利系統公司(Unisys)是全球頂尖的IT資訊科技委外服務提供者,該公司已協助其Milton Keynes客戶服務中心獲得BSI英國標準協會的ISO/IEC 27001:2005「資訊安全管理系統」(ISMS)驗證。優利目前已協助遍佈於世界各地的22個客戶服務中心獲得驗證,這證明了該公司確實遵守資訊安全管理實務的最高準則。

優利與其客戶合作處理四個主要焦點領域,反映了優利的商業優勢:安全、資料中心轉換與委外、最終使用者委外與支援服務,以及IT應用現代化與委外。因此,優利同時為處於業務前線的企業員工和IT後端辦公室功能管理IT資源,包括交易處理、內部網路及線上服務。隨著委外中心的使用率逐漸成長,優利也已經能夠提供更精密、更具有附加價值的流程,例如IT規劃與風險管理。

由於優利管理的IT資源與客戶的業務目的有非常直接的關係,因此優利必須為客戶和內部部門提供穩定、透明且能夠調整及適應的管理系統,這一點相當具有關鍵性。優利在這個領域已達到令人欽佩的成果,因此在完成許多穩固的基礎工作後,便與BSI合作展開驗證過程。

優利全球委外與基礎設施服務部(Unisys Global Outsourcing and Infrastructure Services)全球安全總監(Global Head of Security)暨安全長(Chief Security Officer)Gerhard Knecht博士表示:「優利已與BSI合作多年 – 從聯手在英國獲得ISO 9001驗證,到合作研究可能的電子商務標準。BSI先前已發展出一個前身標準 – BS7799,而我們的長期關係已足以向優利證明,BSI確實是資訊安全標準的領導者。在2005年選擇了BSI作為驗證註冊機構後,我們就不曾再回頭。」

讓流程安全進行
ISO/IEC 27001:2005的核心是安全處理資料的準則。這項標準的目的是協助組織規劃、實行和監督在資料保護、客戶安全及IT基礎設施領域的績效。它試圖協助組織找出及減緩風險,並改善敏感資料和網路的管理,目標是擁有一個協調、綜合、能為各種營運作業提供安全資料管理的系統。

這項標準為優利的整個委外中心網絡設定了品質與安全的標竿。優利已在全球十一個國家設立委外中心,這反映了優利為客戶提供真正全球性服務的企圖。由於IT管控相關潛在的風險 – 尤其是在不斷增長的委外環境中,這向客戶證明了公司在這個領域奉行最佳實務的重要性。

企業現在已經覺醒,體認到備妥調整IT服務管理系統的必要性。即使已投資數百萬在防毒軟體和防駭客策略上,但任何提供這類廣泛IT基礎服務給客戶的組織都必須證明其致力於安全問題的努力,並證明組織確實投入各種系統的持續測試和改善。

優利在「雲端運算」(cloud computing)方面向來是先驅者,這種服務可能妥善革新組織獲得業務和IT服務的方式。簡言之,「雲端運算」發展出將軟體、IT基礎設施及其他關鍵IT支援要求「當作一種服務」來實現的觀念, 藉由這樣的機制,使用者只要付費,便能要求獲得線上主機管理的各種IT功能和網路服務。「雲端」的內在精神是提供共有的服務,任何企業都不必投資昂貴的伺服器和基礎設施。大部分的大型委外提供者現在都提供雲端運算服務給客戶,而雲端運算確實已為較大型的IT企業開啟了另一個潛在的財源。

然而,資訊長的安全顧慮是廣泛採用雲端運算的最大障礙之一。為了克服資訊長對雲端運算資料安全的顧慮,優利近期已發表一個雲端運算策略和解決方案組合,讓組織將企業IT應用工作量安全地移往量身打造的雲端環境,且更有信心維持關鍵資訊的完整性。

支撐這個策略的基礎就是「優利秘密解決方案」(Unisys Stealth Solution),這是一種創新、正在申請專利的資料保護技術,一開始是為軍方IT應用而設計,現在一般的商業客戶也可取得。優利秘密解決方案透過多層的驗證和加密來保護資料,將資料分解成很小的單位,然後裝入多個數據包,如此資料在網路間移動時會是隱形的,因此這個解決方案能在優利的安全雲端中保護資料。

秘密解決方案還有一個輔助機制,那就是優利在其客戶服務中心部署的分層式安全基礎設施,包括侵入偵測與預防服務、安全監視、加強的關聯性與分析、防火牆管理以及日誌記錄(logging)。

除了自己內部的線上安全研發與實踐外,優利也希望能藉由獲得ISO/IEC 27001:2005驗證,讓自己在業界大幅超越競爭者。優利向客戶證明它會逐步讓迫切的安全流程實行完整的雲端運算實務,藉此來鞏固自己在尖端IT安全的地位。

<全文完>

文章來鴻:Business Standards (August 2009)