掌管你我財產的金融產業,一切根基來自「信任」,正在趨於成熟的虛擬金融更是如此。提供穩定幣跨境交易服務的區塊鏈新金融科技XREX,本周宣布取得ISO/IEC 27001資安認證。
不過,現在並沒有任何國家要求業者取得這項ISO認證,XREX不僅只花了五個月就取得認證,甚至在114項申請標準中,以完全零失誤的成績通過。既然沒人要求,為何XREX仍堅持要做?
只花五個月就取得認證、114項標準零失誤通過
ISO/IEC 27001是由國際標準組織(ISO)與國際電工委員會(IEC)聯合發布的一套國際標準,用來驗證企業或組織的資訊安全管理系統 (ISMS) 是否具備完整的風險評估與管理規劃。
XREX獲得英國標準協會(BSI)驗證,加入幣安(Binance)、Crypto.com 和Cybavo等頂尖的加密貨幣交易所與平台的行列,將ISO/IEC 27001的嚴格要求導入其資安管理系統。XREX在114項申請標準中,繳出完全零失誤的好成績,取得認證資格。
ISO27001包括14個主題、35個控制目標、114個控制要點,簡單分類可分為「策略面」、「管理面」兩個面向。XREX資安規劃師Helen Lai受訪表示,「策略面」是最複雜的,需要結合XREX內部的特定流程,以及ISO27001的標準規範,才能建立出屬於XREX的資訊安全管理系統。
這些過程非常細緻繁瑣,以「精準匡列範圍」來說,要從用戶資料傳入XREX平台開始,逐步檢視資料傳輸流程,才能盤點出完善資訊資產清單,才能進一步設計嚴格管制。
要通過這114項申請標準有其難度,Helen Lai表示,依據向相關單位打聽的資訊,第一次查核有一定機率會被要求改善,甚至不被發證要重新闖關。XREX能做到一次通過,內部在面對BSI委員(本次認證單位)查核前,就足足演練了3次,包含一次由外部顧問模擬委員查核、兩次情境模擬。
取得ISO/IEC 27001認證,一般情況下大約需要六個月時間,這次XREX團隊只花了5個月就完成。回顧這趟歷程,Helen Lai表示,這次導入ISO27001一共涉及客服、管理、法尊、資安、資訊等五個部門,需要配合不同單位的專業去說明流程,並實際演練多次,「要做到有效的跨部門溝通,是最困難的部分。」Helen Lai回憶。
取得ISO認證,差異、好處有哪些?
目前,沒有任何一個國家或司法管轄區,強制要求虛擬通貨業者取得這項ISO認證,對交易所來說,取得ISO認證與否,在實務上究竟有何差異?
事實上,每個交易所都有自己的資安機制,而通過國際標準系統性的驗證,代表是可以符合外部驗證,而非只是自己單方面認可。
Helen Lai表示,這次XREX通過ISO驗證,強化了資料的機密性、完整性及可用性管理,平台運作可以更安全穩定。具體來說,資安防護從惡意攻擊偵測、預防及復原控制措施都有規劃,XREX甚至有設定第三道防線(資安稽核單位),監控每一個措施是否都有確實執行並符合規範。
「資安是一層又一層堆疊出來的。」,雖然現在沒有前置規訂有關業者須通過ISO認證,Helen Lai認為,資安是所有加密貨幣業者,都必須要注重的領域,「雖然投入資源與時間成本很高,但也成為了(競爭)護城河。」無論是在提供用戶服務,或是與銀行合作及取得監管單位信任上,都會非常加分。
除了信任,取得ISO認證也是要告訴不法分子,不要在XREX平台上犯罪,不僅會被偵測到,XREX也會採取實際行動打擊犯罪。
XREX共同創辦人暨執行長黃耀文認為,不只是虛擬通貨業者,對現在所有企業來說,有效預防並降低網路風險的能力非常重要。隨著加密貨幣和區塊鏈技術的發展,唯有能夠堅守這些原則的平台,才能獲得銀行、監管機構、用戶和大眾的信任,「我很自豪XREX是其中的佼佼者。」
責任編輯:錢玉紘
