智慧應用 影音
沙崙成果
科技產業報訂閱

全公司通過ISO 27001認證 資拓宏宇積極強化IT服務

  • 陳其璐台北

資拓宏宇資安長張文彬。
資拓宏宇資安長張文彬。

提及ISO 27001認證,相信許多台灣企業都不陌生,早在十幾年前,政府便明確規範,要求A、B級單位應通過ISO 27001認證,連帶引起民間企業的重視,只不過礙於各種考量,大多數企業都將導入範圍限縮在1~2個部門,像資拓宏宇這樣全公司導入且沒有聘請外部顧問輔導的做法,相當少見。

「其實,資拓宏宇資訊部門早就取得 ISO 27001認證,只是現今企業數位化程度日深,資安防禦也日益重要,因此規劃將認證範圍擴大到全公司,希望讓全員上下都具備資安警覺與防護意識,以確保資訊服務品質」資拓宏宇資安長張文彬說明當初決定全公司導入的原因。

凝聚全體共識  是成功通過認證的第一步

在決定由資訊部門擴大到全公司導入後,資拓宏宇的第一步就是爭取資源、凝聚共識,先向各高階主管說明ISO 27001認證的意義與重要性、取得支持,再透過不斷地教育訓練課程,由上而下將此觀念推導到基層員工心中。

前置時期資拓宏宇每年至少辦理8場實體的資訊安全教育訓練及3堂線上課程,並針對同仁的職階與職務規劃不同內容,為的就是讓每一個人都能清楚自身在資訊安全中的角色與職責。

由於遵循CMMI制度多年,內部亦具備資訊安全管理的技術及能力,資拓宏宇決心不假顧問輔導,在各部、處遴選種子成員60餘名進行ISO 27001主導稽核員的培訓,並取得證書,藉由種子成員去推動相關認證作業,最後再透過內部稽核程序,反覆驗證各項資安管控機制的落實度,及有無需要改善之處。

資拓宏宇主要業務是為企業或政府開發資訊系統,過往在執行專案過程中,也會有客戶提出至公司資安稽核的要求,而2020年因為導入ISO 27001的緣故,剛好可以將作業結果呈現給客戶,不只順利通過客戶資安稽核,在這過程中也加深同仁對導入ISO 27001的認同感,並為此而更加努力;受稽後的專案同仁在例行性管理會議上主動分享相關經驗,吸引其他事業群同仁跟著仿效學習,在內部營造出一股積極正向的氛圍。

「2020年11月,在導入到一定程度後,原本想針對重點單位進行readiness review就好,沒想到行政管理單位竟然主動要求加入,最後就變成全公司review」張文彬笑著分享導入過程中的趣事。

這段小插曲充分顯示出資拓宏宇內部每一位員工對導入ISO 27001的重視,並嚴格自我要求將資安相關管控措施內化成日常作業習慣,成為資拓宏宇能夠成功通過認證的關鍵。

未來將借助母公司經驗  持續提升整體資安防禦能力

從2020年初決定到2021年初取得認證,資拓宏宇不只投入超過百萬元的驗證費用,所動員的人力和時間成本更是難以估算,「雖然辛苦卻相當值得」張文彬語氣肯定地說,藉由ISO 27001導入,不只培育出公司內部的資安人才,更找出一些以前沒有注意到的作業風險,進而規劃相應管控機制、提升整體資安水準。

舉例來說,資訊安全作業規範於存放於不同的內部平台中,此番經過彙整後集中於一處,還加入FAQ,不僅便利查找還能維持訊息的一致性;而過去在登入主機或重要系統時,以前只需輸入帳號密碼,如今則需要雙因子認證,確認登入者為有權限的本人。

又如同仁以前沒有鎖櫃子的習慣,現在只要一進到公司拿取完需要物品後,就會立刻上鎖,而且即便短暫離開座位也會把電腦收起來,避免資料在無意中外洩的風險。諸如此類的作業,均已經內化為作業的習慣。

雖然資拓宏宇已經順利取得ISO 27001認證,但張文彬表示未來還會繼續努力,希望引進母公司中華電信的經驗,深化各資安管控措施的自動化與系統化程度,並持續針對各個同仁進行適合的資安教育訓練。

張文彬表示,「畢竟資安風險管控與防禦是一條永不止息的路,資拓宏宇將以母公司經驗為基礎,持續地自我要求和進步,希望為客戶提供更安全高品質的資訊服務。」