全公司通過ISO 27001認證 資拓宏宇積極強化IT服務

資拓宏宇資安長張文彬。

提及ISO 27001認證，相信許多台灣企業都不陌生，早在十幾年前，政府便明確規範，要求A、B級單位應通過ISO 27001認證，連帶引起民間企業的重視，只不過礙於各種考量，大多數企業都將導入範圍限縮在1~2個部門，像資拓宏宇這樣全公司導入且沒有聘請外部顧問輔導的做法，相當少見。

「其實，資拓宏宇資訊部門早就取得 ISO 27001認證，只是現今企業數位化程度日深，資安防禦也日益重要，因此規劃將認證範圍擴大到全公司，希望讓全員上下都具備資安警覺與防護意識，以確保資訊服務品質」資拓宏宇資安長張文彬說明當初決定全公司導入的原因。

凝聚全體共識  是成功通過認證的第一步

在決定由資訊部門擴大到全公司導入後，資拓宏宇的第一步就是爭取資源、凝聚共識，先向各高階主管說明ISO 27001認證的意義與重要性、取得支持，再透過不斷地教育訓練課程，由上而下將此觀念推導到基層員工心中。

前置時期資拓宏宇每年至少辦理8場實體的資訊安全教育訓練及3堂線上課程，並針對同仁的職階與職務規劃不同內容，為的就是讓每一個人都能清楚自身在資訊安全中的角色與職責。

由於遵循CMMI制度多年，內部亦具備資訊安全管理的技術及能力，資拓宏宇決心不假顧問輔導，在各部、處遴選種子成員60餘名進行ISO 27001主導稽核員的培訓，並取得證書，藉由種子成員去推動相關認證作業，最後再透過內部稽核程序，反覆驗證各項資安管控機制的落實度，及有無需要改善之處。

資拓宏宇主要業務是為企業或政府開發資訊系統，過往在執行專案過程中，也會有客戶提出至公司資安稽核的要求，而2020年因為導入ISO 27001的緣故，剛好可以將作業結果呈現給客戶，不只順利通過客戶資安稽核，在這過程中也加深同仁對導入ISO 27001的認同感，並為此而更加努力；受稽後的專案同仁在例行性管理會議上主動分享相關經驗，吸引其他事業群同仁跟著仿效學習，在內部營造出一股積極正向的氛圍。

「2020年11月，在導入到一定程度後，原本想針對重點單位進行readiness review就好，沒想到行政管理單位竟然主動要求加入，最後就變成全公司review」張文彬笑著分享導入過程中的趣事。

這段小插曲充分顯示出資拓宏宇內部每一位員工對導入ISO 27001的重視，並嚴格自我要求將資安相關管控措施內化成日常作業習慣，成為資拓宏宇能夠成功通過認證的關鍵。

未來將借助母公司經驗  持續提升整體資安防禦能力

從2020年初決定到2021年初取得認證，資拓宏宇不只投入超過百萬元的驗證費用，所動員的人力和時間成本更是難以估算，「雖然辛苦卻相當值得」張文彬語氣肯定地說，藉由ISO 27001導入，不只培育出公司內部的資安人才，更找出一些以前沒有注意到的作業風險，進而規劃相應管控機制、提升整體資安水準。

舉例來說，資訊安全作業規範於存放於不同的內部平台中，此番經過彙整後集中於一處，還加入FAQ，不僅便利查找還能維持訊息的一致性；而過去在登入主機或重要系統時，以前只需輸入帳號密碼，如今則需要雙因子認證，確認登入者為有權限的本人。

又如同仁以前沒有鎖櫃子的習慣，現在只要一進到公司拿取完需要物品後，就會立刻上鎖，而且即便短暫離開座位也會把電腦收起來，避免資料在無意中外洩的風險。諸如此類的作業，均已經內化為作業的習慣。

雖然資拓宏宇已經順利取得ISO 27001認證，但張文彬表示未來還會繼續努力，希望引進母公司中華電信的經驗，深化各資安管控措施的自動化與系統化程度，並持續針對各個同仁進行適合的資安教育訓練。

張文彬表示，「畢竟資安風險管控與防禦是一條永不止息的路，資拓宏宇將以母公司經驗為基礎，持續地自我要求和進步，希望為客戶提供更安全高品質的資訊服務。」