系統簡介


ISO/IEC 27001 公佈迄今,不僅世界各國的企業組織均積極導入,同時亦是企業組織資訊
安全保證的代言者及競爭的必備條件,又再加上各國對於個人資料防護的重視,使得
ISO/IEC 27001成為安全防護的最佳證明。
全世界各國在網路時代的各項活動中,均已普遍認知資訊安全的重要性,紛紛制訂各
項資訊資產相關的法令規章,在鼓勵及促進商業活動的同時,也做必要的資安規範,
達到資訊資產的機密性、完整性及可用性的要求。

資訊安全的重要性


 

 

※資訊安全不僅限於網路,包含企業資訊資產、個人資料及顧客資料的管理與防護。

ISO/IEC 27001 資訊安全管理系統模式


建立與管理流程


科建顧問的輔導特色

異業整合能力最高
本公司的資訊安全系統輔導最客觀,不以投資硬體為主要考量,完全視客戶資訊系統風險的高低,必要時結合各領域的佼佼者,提供客戶優質的改善方案,讓企業就算面臨著資訊安全的較高風險,也能確保最適切的投資。

 

風險評估資料庫最完善
科建累積足夠的輔導經驗後發現,風險評估是執行資訊安全系統的客戶最大的障礙,科建累積足夠的資料庫,讓您輕鬆執行風險評估過程。

 

跨系統整合能力最強
科建累積近八千家客戶的輔導經驗,累積品質、環境安全衛生、經營管理各領域的輔導實績與經驗,對已經實踐制度管理的企業進行資訊安全系統建置,讓您在接受輔導之單位成本較其他輔導公司成本更低。

科建顧問系統整合能力



 

科建顧問輔導模式



 

科建顧問 ISO/IEC 27001專業輔導教材


輔客實績




 

REPORT / 新聞稿

  • 2010.10.28

    服務用心,提升服務品質與保障資訊安全 全國意向顧問-全公司通過ISO 9001 & ISO 27001品質與資安雙項國際驗證

    21世紀隨著企業經營環境的變化,對於資訊依賴之重要度日益提高,資訊已成為現今企業重要的無形資產,如何確保企業資訊的機密性、完整性及可用性是當今最重要的課題之一。ISO 27001資訊安全管理系統,著重在對於處於高風險狀態下的資訊,必須有一套完整的防護措施,降底企業營運風險,讓企業得以持續的營運。

    全國意向顧問股份有限公司成立於民國87年,主要服務項目為市場調查、民意調查、行銷顧問….等服務。全國意向擁有多領域、不同專長的專業人員及專家顧問團隊,提供不同產業之客戶最適切的調查服務、統計結果及調查報告,從客戶觀點出發滿足其核心需求;更有世界首創的Web 3.0行動市調車,運用最先進的市調設備與技術,透過無線網路的即時傳輸特性創造更多元的研究調查方法,並與大陸著名市調公司組織策略聯盟,創立兩岸三地調查網以服務更多客戶。

    全國意向公司自成立以來一直秉持著確保資訊價值的理念,用最真誠的態度服務客戶,並致力於調查過程的每一環節,根據不同專案需求成立專業的研究團隊深入分析及解讀資訊,讓資訊不僅僅是資源更是關鍵時刻的支援。由於管理階層深知顧客對於資訊安全之重視,且市調資料日漸仰賴資訊設備管理的現況,為提升企業資訊資產之安全,並有效完整的保護管理這些資訊資產,特別委託企管顧問業之翹楚-科建顧問協助導入ISO 27001:2005(含ISO 9001:2008改版)管理系統,透過科建專業的輔導已於99年8月順利通過BSI英國標準協會驗證並取得國際證書,成為國內第一家通過ISO 9001品質管理系統與ISO 27001資訊安全管理系統驗證的市場研究顧問公司;更是國內少數以全公司為驗證範圍且通過ISO 27001資訊安全管理之企業,期望公司對資訊安全的管理與國際標準同步,讓客戶同等感受全國意向對其資訊安全的重視,進而成為市調產業的先趨與標竿。

    科建顧問為大中華區輔導ISO國際標準管理系統之第一品牌,同時通過ISO 9001與ISO 27001驗證之顧問公司,提供完整專業診斷輔導服務,擁有超過8000家之企業輔導實績,協助企業快速建立管理系統並取得國際證書,欲了解相關資訊內容,請上科建網站查詢http://www.kind.com.tw,或洽全國免付費專線:0800-010-993。

  • 2016.09.30

    創造卓越績效兼顧資訊安全管理 聯立資產管理股份有限公司/聯立法律事務所 通過ISO 27001資安國際驗證

    聯立法律事務所成立於1986年,以辦理與催收有關之法律事務為主。聯立資產管理股份有限公司成立於1997年成立,是臺灣第一家由專業律師(廖建台律師)負責實際業務之資產管理公司。主要服務項目為接受國內各大銀行、知名發卡公司及電信業者之委託,辦理有關信用卡、消費性金融貸款、電信通訊業務等之逾期應收帳款管理催收服務。

    聯立擁有專業優秀的經營服務團隊,運用先進的資訊設備及技術,憑藉著累積多年豐富的催收經驗、專精的法律素養,抱持著不斷學習、勇於創新、精益求精的積極態度,以熱忱、誠信為最高原則,穩健紮實的一步一腳印努力經營,提供客戶最佳問題解決方案並有效率地完成客戶所期待之績效目標。

    隨著現今企業經營環境的變化,對於資訊依賴之重要度日益提高,資訊已成為企業重要的無形資產,如何確保企業資訊的機密性、完整性及可用性是當今最重要的課題之一。聯立深感客戶對於資訊安全之重視,為提升企業資訊資產之安全,並有效完整的保護管理這些資訊資產,特別委託企管顧問業之翹楚-科建顧問協助導入ISO 27001:2013管理系統,透過科建專業的輔導已於2016年9月順利通過法國標準集團(AFAQ-AFNOR Group)驗證並取得國際證書。期望聯立對資訊安全的管理與國際標準同步,讓客戶同等感受聯立對其資訊安全的重視,獲致客戶更進一步之信賴與支持。
     

    科建顧問為大中華區輔導ISO國際標準管理系統之第一品牌,同時通過ISO 9001與ISO 27001驗證之顧問公司,提供完整專業診斷輔導服務,擁有超過10,835家次(截至2016年09月)之企業輔導實績,協助企業快速建立管理系統並取得國際證書,欲了解相關資訊內容,請上科建網站查詢http://www.kind.com.tw,或洽全國免付費專線:0800-010-993。

  • 2017.01.24

    正大聯合會計師事務所,精益求精取得ISO/IEC 27001 資訊安全管理系統驗證,提供客戶穩定安全之服務

    隨著時代資訊化不斷進步,完善的產品資訊機密防護是公司營運持續的關鍵。為維護人員、軟體、硬體及客戶資訊安全,依ISO 27001資訊安全管理系統評估資訊安全風險,建立適當防護措施,以保證顧客及公司的機密有完善的保護,降低企業營運風險,讓企業得以持續營運。

    正大聯合會計師事務所設立於民國60年,主要為客戶提供全面的審計、企業支援、法務研究、工商登記、稅務服務、移轉訂價及薪資服務。正大精益求精2011年起陸續委託科建顧問輔導通過ISO 9001品質管理系統驗證,成為中華民國第一家取得ISO 9001國際驗證的會計師事務所;於2016年正大全員共同參與系統建置並取得ISO/IEC 27001資訊安全管理系統驗證,落實全球總部實施的資安政策,建構完整的資訊安全管理系統,確保機密資料保護的機密性、完整性及可用性之目的。

    <用心對待客戶,用心了解市場改變,協助客戶成長>是正大聯合會計師事務所長期以來不變的堅持。本所持續改善提供客戶穩定安全之服務,落實客戶與正大的資料安全為己任,達到與客戶共同完成之目標。
     

  • 2018.12.05

    醫策會通過 ISO 27001 ISMS 資訊安全管理系統認證

    醫策會成立於1999年,係由衛生福利部 (原行政院衛生署)、台灣醫院協會、台灣私立醫療院所協會、中華民國醫師公會全國聯合會共同捐助成立之組織。
    財團法人醫院評鑑暨醫療品質策進會(簡稱醫策會)日前順利完成ISO 27001資訊安全管理系統認證,這是繼2016年該會完成ISO 9001品質管理系統認證後,再次獲得ISO國際專業認證。在醫策會承辦人馬紹宏副研究員及廖文顯專員的帶領之下,醫策會做為評鑑認證與品質促進的專業機構,建置有完整之資訊系統以強化服務的完整性,對保護客戶重要資訊的機密性與安全性亦有完全方位之資訊安全管控架構,並委由科建顧問協助導入ISO 27001:2013資訊安全管理系統(ISMS),並辦理定期資安評估,建置出具備國際標準之資訊服務系統,並於107年8月順利通過TNV 國際驗證公司驗證並取得證書。
    醫策會多年努力參與醫療體系的改革工作所累積的經驗,造就卓越的專業能力與紮實基礎。而不斷創新與開發的能力,更創造出不凡的價值。醫策會一步一腳印,努力深耕,朝「醫療品質推手」的使命前進,積極建立與民眾及醫界的夥伴關係,共同提升健康照護品質。未來將持續努力成為「行動作為在地化、思維視野國際化」的醫療品質機構,期許民眾能夠獲得安全、優質、有效益且具人性關懷的健康照護。
     

  • 2020.03.05

    ※科建輔導案例※亞旭電腦股份有限公司 導入ISO/IEC 27001資訊安全管理系統

    亞旭電腦股份有限公司(股票代號:2366)成立於1989年,是世界知名品牌「ASUS」旗下子公司一員,目前在全球擁有約9,000名以上員工,為年營業額超過12億美元,專精於網路通訊及電子產品開發的國際大廠。
    目前Askey總部設置在臺灣台北,在中國蘇州更擁有佔地30萬平方米的工廠園區及三座先進製程工廠。我們秉持著深耕本業永續經營、專注研發不斷創新的精神,及時為全球客戶提供最創新、優質的競爭力產品與安心、滿意的售後服務。
    亞旭電腦股份有限公司為國內網路通訊設備製造領導廠商。因應國內外寬頻網路市場起飛,領先開發成功的非對稱數位迴路數據機 (ADSL) 及纜線數據機 ( Cable Modem),在國內外市場各領風騷。亞旭的優異研發能力,能夠在短時間內取得多國安規標準認証,同時為國內首家通過美國 Cable Labs 及歐洲 EuroDOCSIS 認証的廠商。亞旭電腦的產品線完整,從寬頻網路產品,如xDSL, Cable Modem, WLAN, VoIP, Set Top Box,PDT, 寬頻路由器等,到具有發展潛力的光纖產品GPON, GPS及高階整合型產品,同時還加上數位家庭的產品需求不斷地創新研發,近來更在智慧車載產品上積極地規劃與生產。亞旭以其深耕本業的執著,專注技術研發與創新,建構符合市場主流需求的多元產品線。
    隨著現今企業經營環境的變化,對於資訊依賴之重要度日益提高,資訊已成為企業重要的無形資產,如何確保企業資訊的機密性、完整性及可用性是當今最重要的課題之一。亞旭電腦深感客戶對於資訊安全之重視,為提升企業資訊資產之安全,並有效完整的保護管理這些資訊資產,特別委託企管顧問業之翹楚-科建顧問協助導入ISO/IEC 27001:2013資訊安全管理系統,透過科建專業的輔導,讓亞旭電腦對資訊安全的管理與國際標準同步,讓客戶同等感受聯立對其資訊安全的重視,獲致客戶更進一步之信賴與支持。
    科建顧問為大中華區輔導ISO國際標準管理系統之第一品牌,同時通過ISO 9001與ISO 27001驗證之顧問公司,提供完整專業診斷輔導服務,擁有超過12,442家次(截至2020年02月)之企業輔導實績,協助企業快速建立管理系統並取得國際證書,欲了解相關資訊內容,請上科建網站查詢http://www.kind.com.tw,或洽全國免付費專線:0800-010-993。

  • 2021.10.04

    國眾電腦 通過 ISO27001 認證,資安更完善

    【國眾電腦通過認證,資安更完善】

    新冠疫情影響下,網路是全球企業維繫營運的基礎建設,資訊安全更是首要課題,蔡總統也多次重申資安即國安。本司從過去即相當重視資訊安全的議題,為了提供客戶更安心的資訊服務,本司在9月已通過ISO 27001的認證,在第三方驗證機構貝爾國際驗證公司(AFNOR法國標協集團)的專業審視下通過各項高標準要求,於10/6日由貝爾國際董事長蔡重成博士親臨授予ISO/IEC 27001:2013資訊安全認證證書,充分展現本司對客戶資訊安全與服務品質的承諾。

    ISO/IEC27001:2013資訊安全管理系統標準,是設計來確保組織所選擇來保護資訊資產安全之管制作業為充份而適切的,屬於企業組織整體經營風險管理之範疇,同時也律定執行個別組織或其分支機構需要執行客製化之安全管制要求;在企業追求持續營運之際,也能給予相關利益團體充分之信心,並建立符合國際標準之管理制度,以達成組織營運安全之目標。

    本司通過這次驗證,由科建管理顧問(限)輔導建立資訊安全管理系統,針對組織內所使用的資訊建構一個資訊安全管理體系,以妥善保護資訊的機密性、完整性和可用性,從事前預防、事中監控、事後應變等不同面向管理規劃,強化資訊安全管理時,也得以掌握資訊資產的風險水準並有效管理。本司積極構建符合國際標準的資訊安全保護網路,可以進一步增強客戶信賴,成為最可靠的合作夥伴。

    貝爾國際蔡董事長表示,希望借由這次驗證跟本司建立資訊安全的經驗交流管道,未來雙方可做更多的合作,彼此分享資訊安全方面的訊息及經驗,共同完善國內IT產業的資安意識。本司董事長感謝貝爾國際提供的稽核指導,同時強調獲得證書只是資訊安全工作的開始,除落實全體同仁「資訊安全,人人有責」的觀念外,如何繼續改進才是更重要的問題!未來會根據ISO27001標準;計劃-執行-檢查-行動(PDCA);進行持續改進,加強資訊安全策略的實施,為客戶提供基於安全的資訊整合服務。

ARTICLES / 文章分享

  • 2007.04.01

    資訊安全管理新趨勢-ISO 27001管理系統簡介

    21世紀企業隨著企業經營環境的變化,對於資訊依賴之重要度提高。資訊(Information),已成為現今企業重要的無形資產,也是企業成功的基礎與命脈。如何確保企業資訊的機密性、完整性及可用性是當今最重要的課題之一,在今日許多組織均處於高度連網(內部網路與網際網路)的環境下,更顯示出其重要性。資訊安全管理系統(Information Security Management Systems 簡稱ISMS)因此孕育而生,由英國工業貿易部倡導,正在全球普遍推行當中;2005年國際標準組織(ISO)已正式頒布ISO 27000:2005資訊安全管理系統標準,且我中華民國也依此制定國家資訊安全標準,編號為CNS 27001。

      根據行政院資通安全會報規定,資訊安全等級列A、B級之政府單位必須於96、97年建置完成資訊安全管理系統(ISMS),並取得第三方認證通過。在政府帶動及民間企業也體認ISMS的重要,許多大型電信業者或金融、資訊服務業,為取信於客戶,紛紛推動ISMS的建置。因此,在法規要求以及客戶期望下,這波ISMS建置熱潮帶動下,推行ISO 27001管理系統已成為企業永續經營之必要工作。

    ISO 27001條文要求如下:
    4.資訊安全管理系統 
     4.1一般要求 
     4.2建立和管理ISMS 
      4.2.1建立ISMS 
      4.2.2實施和運作ISMS 
      4.2.3監控和審查ISMS 
      4.2.4維護和改善ISMS 
     4.3文件要求 
      4.3.1概述 
      4.3.2文件管制 
      4.3.3紀錄管制
    5.管理責任
     5.1管理者承諾
     5.2資源管理
      5.2.1資源的供應
      5.2.2訓練、認知及能力
    6.ISMS內部稽核
    7.管理審查
     7.1概述
     7.2審查輸入
     7.3審查輸出
    8.改善ISMS
     8.1持續改善
     8.2矯正措施
     8.3預防措施

    ISO 27001推行效益:
    1. 提升企業整体競爭力及形象。
    2. 確保業務資訊之機密性、完整性與可用性。
     (1)機密性:確保被授權之人員才可使用資訊。
     (2)完整性:確保使用之資訊正確無誤、未遭竄改。
     (3)可用性:確保被授權之人員能取得所需資訊。
    3. 鑑別資訊安全管制點,包括組織員工、客戶、供應商與股東。
    4. 消除與日俱增之資訊安全威脅,如:營業機密(研發成果)、欺詐、間諜、破壞、毀損、天災、電腦病毒、駭客入侵等。
    5. 建立資訊硬體設施及軟體之管理機制,以統籌分配、運用全公司資源。
    6. 實施資訊安全教育訓練,宣導資訊安全政策及相關實施規定。
    7. 建立適切之管理程序流程,確保資訊安全。
    8. 明確規範資訊系統及網路服務之使用權限,防止未經授權之存取動作。
    9. 訂定資訊作業安全災變回復計畫並實際演練,確保業務持續運作。
    10. 強化風險管理。

  • 2007.09.01

    ISO 27001資訊安全管理系統導入解析

    國際標準組織(International Organization for Standardization)於2005年10月15日宣布ISO27001資訊安全管理系統成為國際標準,提供組織建置資訊安全管理導入的國際標準規範。

      而導入ISO 27001資訊安全管理系統最為顯著的國家為「日本」,通過驗證之組織共計2148家,其次為「英國」316家,再者為「印度」249家,而「台灣」則排名在第四名,共計125家並持續增加中。

      特別值得一提的是日本、英國與印度導入ISO 27001之組織大多為「企業組織」,而台灣則是「政府組織」佔了絕大部份,這代表什麼樣的含意與現象呢?

      台灣是一個以中小企業為經濟主體的國家,對於資訊安全的想法與認知,都設限於只要做好內部管理即可,但是,一般公司的IT人員僅兩到三位,要如何管理全公司之資訊安全,這是企業管理人員應深刻思考的課題,因為只要一發生電腦病毒、駭客入侵或資料移失等狀況,對公司造成的傷害與損失,嚴重時,會造成組織服務的中斷,這是誰也不願見到與承擔的後果。

      在資訊發達與流通快速的今天,資訊危機無時無刻都存在我們身邊,如開啟不明電子郵件或瀏覽特定網頁,都可能造成資訊安全的風險,資訊安全的目的是「永續服務」,而「永續服務」的主體在於「人」,我們應如何做好資訊安全管理,需從「人」的動作與行為管理做起。

      因此,ISO 27001資訊安全管理系統的功能,著重在於資訊安全「流程管理」,結合ISO 9001的精神並整合資訊安全附錄十一項專業領域要求,要求項目如下:
      一、 安全政策
      二、 資訊安全組織
      三、 資產管理
      四、 人力資源安全
      五、 實體及環境安全管理
      六、 通訊及作業管理
      七、 存取控制
      八、 資訊系統獲得、發展和維護
      九、 資訊安全事件之處理
      十、 商業營運持續管理
      十一、 法規、遵循與稽核

      而ISO 27001資訊安全管理系統在導入初期,會進行「資安環境診斷」、「弱點掃描」、「資產鑑價」與「風險評估」,是一般ISO系統所少見的導入步驟,這也代表資訊安全著重的方向是在於「預防」,而非在於強化「硬體設備」之功能與架構。

      由初步診斷與評估,並結合十一項專業領域之要求之導入,可使IT人員更容易去掌握組織資安環境的變異,進而強化一般人員資安認知,並提昇組織對持續服務客戶之效益與效率更有信心,商譽與績效可同步提昇,進而達到永續發展的目標。

      在全球化的世界裡,只要有資訊與資料之流通,資訊安全就會存在風險,而資訊安全攻擊是不分國界與時間,只要有機會隨時可能被入侵與攻擊,所以,為了降低資安風險,期待企業組織共同來為更完善的資安環境盡一份心力。

  • 2008.11.01

    推行ISO 27001:2005概念說明

    ISO 27001係一套用以建立、實施、操作、監控、審查、維護及改善資訊安全管理系統(Information Security Manage- mentSystem 簡稱ISMS)之國際標準;ISO27001:2005資訊安全管理系統為一套過程導向與客戶需求引導的系統,而不是一個技術性的準則,協助客戶將資訊安全資產管理帶領到一個全新的領域。

      企業主要的資訊安全資產管理,跟資訊人員與使用者有何不同?資訊這個武器在資訊應用系統開發者的眼裡與使用者的概念有何不同?各位想必知道,資料在應用系統的整合後,能夠發揮出很大的效益。您也想必看過許多的商業型態的電影,描述主角如何利用企業中的資料帶出改進的契機,進而創造一個新的企業型態或形象。在輔導企業落實ISO 27001的經驗中發現,企業主對於資訊系統通常有著比較大的隔閡,可能因為資訊教育的不足,或是長年努力專精在技術、業務、研發等層面的工作,對於管理、資訊等領域通常比較陌生,在資訊安全的概念上也就更難以推展。因此,如何用商業的角度、客戶需求、過程導向、系統導向來思考資訊安全管理系統的推展,成為在ISO 27001顧問工作上努力的目標……

    ISO 9001以後,其實也推出了許多具有風險管理意識的系統,當然,這些系統很重要。但是從現在資訊如此發達,國際網路的威力無遠弗屆的趨勢來看,相信任何人都不會說資訊安全的保護不會是企業中令人關注的題目。但是,您企業中有關資訊安全的資產,真的很好的被保護著嗎?日前基測考生的個資洩漏問題鬧的沸沸揚揚,相信您也還記得陳冠希事件給社會帶來多大的衝擊,新聞上斗大的篇幅不斷的告訴您:不管是個人的資料或企業的資料都應該受到同等的關注。而要保護的對象是什麼?放在企業中的資訊安全資產到底哪些是重點?ISO 27001:2005 協助企業透過這個標準的推行,瞭解資訊安全風險管理的模式,進行資訊安全風險評估,運用過程導向與系統導向的方法鑑別出企業的資訊安全管理重點,規劃、建立有效的因應計畫與管控系統,持續運作各項資訊安全管理系統要求,確保組織能於最低風險下持續營運。

    ISO 27001 採用PDCA的概念
    自從戴明博士倡導PDCA的管理模式架構以來,PDCA雖然已經不是顯學,但卻是品質管理非常重要的概念,現在這個概念也引進了ISO27001的系統中,從計畫、行動、監控審查、行動這四個最重要的ISMS系統建置的步驟看來,有很多是必須要在推行過程中展開的:


    客戶需求原則:
    一般都會以汽車業推行的過程導向案例,來解釋分解客戶需求的方法導入過程導向的概念。這種方式在引導資訊安全資產重點時特別能夠讓企業主瞭解:客戶委託給企業(組織)中的哪些資訊資產會跟企業(組織)中的重要資產相結合。業態(組織主要經營獲利流程與型態)是常常拿來說明的一種說詞,通常業態會引發所有企業可能會有的營運管理原則,與企業中必須要執行的工作。從此思考,對於過程導向也將不難理解。很重要的是:未來具有主導性能力影響資訊安全系統推行的是客戶的概念,因為如果客戶不懂得保護自己委託給委外單位的資訊系統有關安全,被委託的單位或是組織也就不會重視。


    過程導向展開原則:
    常常在進行資訊安全風險評估的過程裡,企業的資訊主管或是主辦人都會為了資訊安全資產哪些是企業的重點而傷透腦筋,如果使用過程導向思考則絕不會惹上這樣的麻煩。您可以使用類似矩陣的方式來展開思考:
     
    ●上列圖表僅為範例,非意指正常業態流程。
    ● v 的含意代表著其中應該會有資訊安全資產可能會留存,只是型態還需要進一步的識別。
    ●系統導向引用ISO 9001思維,釐清各個流程之間的相互關係與順序,即可完成系統導向識別。

    風險管理原則:
    一般來說透過ORCA原則(目標、風險、控制、一致性)來推行資訊安全系統,採用了風險管理的思維,所以如何建立起符合ORCA原則的風險評估機制,藉以瞭解公司資安資產在機密性、完整性、可用性等方面可能遭遇的資產價值衝擊或是損失,是必須進行的重要步驟。所以建立起資訊安全系統的控管目標,結合風險研究,進行合理性的控制,進一步的透過內部稽核、管理審查的活動使規劃理想與實際控制符合,是整體資訊安全控制系統的風險管理規劃。
     
      風險評估後自然要面對企業所遭遇的資訊安全高風險項目進行回應,而同時能夠符合資訊安全政策、資訊安全目標以及持續營運的理想自然是最好不過,此時可能會因應公司資訊化程度作某些硬體、軟體上的投資,或是進行教育訓練宣導、訓練及制度管理。

    您可能針對硬體、軟體的投資會相當戒慎恐懼,當然,規劃、執行ISO27001:2005資訊安全系統,是可能要進行一些投資,但是跟其他系統完全一樣,您的投資是取得您的客戶對您的商務信譽得到更高度的信任,以及在資訊資產的保護上得到更多的風險上的減低,先期的投資可以讓你在日後的損失降到最低。而這樣的風險控管的概念,則跟保險的概念可以說是一致的。

    對於規劃、執行ISO 27001,自然會面臨到很多資訊上可能有專業術語會應用與討論,您可以尋找專業的諮詢顧問解答這些問題,而技術工具畢竟是為了增加企業競爭力所做的必要投資,所以適當投資是必要的。尋找適當的顧問,將可讓您的資訊安全風險與企業營利目標上得到最佳的平衡。
  • 2010.11.17

    ISO 27001資訊安全管理系統輔導經驗談

    ISO 27001:2005資訊安全管理系統自2005年公告以來,由公家機關、學校、醫院等機構開始導入,到近期相關私
    人企業也陸續導入此驗證系統,尤其自「個人資料保護法」公布後,個人資料大量以資訊化方式使用或儲存,資訊安
    全更加受到重視。

     

        企業在建立ISO 27001資訊安全管理系統時,應遵循一套系統性方法,以下就這些方法說明5個應注意的要項:

     

     

    一、資訊資產盤點:

     

        須確認其資訊資產分類方式,資訊資產分類與一般企業固定資產分類模式並不完全一致,以現有固定資產並無法

        將資訊類資產獨立而成資產盤點結果,例如:一般資訊資產盤點還須包括跟資訊安全有關的人員,這是與一般固  

        定資產不同的地方,必須先行確認資訊資產分類方式,使資訊資產清冊完整,並且對每項資產價值加以評估,依

        資訊資產的機密性、可用性及完整性作為資產價值評估的依據。此舉必須注意量化表現之方式,使其能展現一致

        的評估結果,以利後續風險鑑別。

     

    二、風險評鑑:

        
        風險評鑑須決定其方法論,並先行思考各項資產可能對應的弱點為何?可能導致哪些衝擊?建議先收集並建立適

        用的資料庫,以資產對應的弱點,弱點對應的衝擊建立之,避免遺漏風險未被鑑別。此資料庫並非一對一,通常

        是一對多,換言之,一項資產對應多項弱點,一項弱點亦可能對應多項衝擊,風險評鑑初期方法規劃需通盤且完

        整考量,如規劃未完整,常造成風險評鑑完整性不足,導致一再重複做風險評估作業。

     

     

    三、風險回應:

        
        此步驟針對已鑑別的風險做處置的管制方式之回應,於選擇管制項目時,一般企業常見狀況為控制項目的回應不

        夠完整,需確認ISO 27001:2005資訊安全管理系統附錄A提供之11項管理領域、39項控制目標、133項控制項

        目及方法已被充分考量。

     

    四、營運衝擊分析:

        
        針對可能造成營運中斷的資訊安全事件應加以分析及鑑別,必須建立一方法論,以企業的核心流程為主,其流程

        運用的資訊資產為何?這些資訊資產遭遇何種事故時,對營運持續性造成中斷的可能,以這些資訊安全事件發生

        的可能性及造成營運持續的衝擊大小分析,並決定相關營運持續計劃之建立。

     

    五、營運持續計劃:

        
        針對已鑑別出可能導致營運持續性中斷的事件,須建立相關計劃活動,以避免營運中斷事件發生或將影響降到最

        低。建立營運持續計劃時,須考量其步驟、權責人員、所需資源、預計完成時間等,計劃完成後,須以各種可行

        方式,確認計劃可行性,如沙盤推演、狀況模擬、技術性復原測試及完整演練確保資訊資產遭受破壞或不當使用

        時,能迅速採取必要的應變措施,在最短時間內復原,並降低該事故可能帶來的損害。

     

        由以上步驟得知,建立ISO 27001:2005資訊安全管理系統時,須先行確認各步驟方法,故方法論的建立及使用,

    即決定了ISO 27001:2005資訊安全管理系統建立及維護之成敗。在導入ISO 27001:2005資訊安全管理系統時,可參

    照國際標準組織公布的相關指導綱要,如ISO 27002:ISMS 作業規範、ISO 27003:導入指南、ISO 27004:信息安全

    管理評測標準、ISO 27005:偏重風險管理,或尋求外部專家協助,以期達到事半功倍之成效。

  • 2010.11.19

    ISO 27001管理制度建置方法論

    一般企業經營都需要「規矩」,規矩是累積企業商業營運模式而成的一種管理經驗,而後把商業營運經驗形成「管理制度」,即成為治理一所企業、組織所有規定的集合體,也是協助主管人員管理企業、組織的一套作業準則。

        在以往資訊安全輔導的經驗中,發現許多企業在打造資訊安全系統時,容易有以下錯誤觀念:

     

    1.資訊服務等於資訊安全:

     

      從事資訊服務的同仁通常兼任資訊安全的工作,雖然在技術上有共通處,但是資訊安全是在提供流程服務的資訊化過程中所必須
      考慮的,然而許多組織並沒有把關鍵服務流程資訊化,即公司運轉的過程尚有許多依靠溝通及人工進行,此時就會把資訊安全視
      為資訊部門的責任。

     

    2.資訊安全只要把技術搞定,就可以達到全面資訊安全:

     

      目前導入ISO 27001標準的範圍,都著眼於資訊部門或侷限某個資訊系統,如果本身沒有實際的資訊系統管理經驗,則很難提出有
      效且實用的建議,而提供資訊安全技術的公司通常也兼作資訊安全專家,如:電腦防毒科技類廠商在使用電腦技術上會提供建議
      ,這也成為一種商業上的模型,但並不是組織使用資訊的全貌,所以若沒有針對商業模式(營收過程)了解企業需求,就無法準
      確提出適用於組織的資訊安全方案。

     

    3.認定理論歸理論,實務管理歸實務管理:

     

      ISO 27001標準具備一套相當實用的理論,依戴明先生講述的規劃、實施、檢核、行動(Plan-Do-Check-Act, PDCA)理論模型,問
      題大多可迎刃而解,但那畢竟是理論,所以就讓公司的業務歸業務,理論歸理論。

     

     

    以下歸納前述問題提出幾點以作參考:

     

    1.全面導入、局部驗證的規劃

     

      很多公司在設定推行ISO 27001的範圍中,有一種「全部導入、局部驗證」的錯誤認知,即在時間有限的情形下,先讓大範圍的人
      員參與了解ISMS的精神,再採取「局部驗證」的方式,強制某部分單位按規定執行,雖然訂出來的制度全體皆必須遵守,但不須
      被檢查的單位可能會以一種「看好戲」的心態來面對所推行之資訊安全的政策。
     

      當然我們能夠理解 企業、組織的資源有限,不可能讓每個單位都受到完善的保護,所以必須依輕重程度排出優先順序予以管理、
      保護,才能將有限資源投入迫切需要的部份,但是在局部驗證的範圍導入過程中,如果只用實體區域設定的方式來考慮所謂的
     「局部」,則無法達到資訊安全推行的全面效果,如:只以機房其中一個機櫃的某台伺服器或一台刀鋒中的AP為範圍,卻沒有將企
      業的關鍵流程納入管理,這樣的方式僅適用在客戶迫於取得驗證通過的強大壓力下之情況,並不適用於推行資訊安全。

     

    2.制度化過程的謬思

     

      標準制定的過程中,通常會在認知上把過去ISO 9001標準化過程的陰影,套用在目前資訊安全制度化的過程,因為只考慮通過驗
      證,所以僅把驗證過程中需要的部分、條文建置過程中強制的部份設定出來,並將這樣的工作委由工作負荷較輕的員工負責,無
      論其資深或資淺,由於資深員工都以業務過於忙碌來推托,所以就把不了解狀況的人所設定的制度當作圭臬,隨即形成惡性循
      環。

     

      制度規範會更加深大家對管理制度的誤解, 若企業的規範沒有適合的人來定義,那麼照範本訂出的結果也僅剩應付驗證考試的
      意義。

     

    3.風險評鑑與制度建立脫鉤

     

      從資產盤點到風險評鑑,一直到殘餘風險認定,最常出現的錯誤為沒有規劃風險評鑑的基準問題、設定出來的過程不夠嚴謹,以
      及沒有將風險評鑑的方式進行有效的培訓,這造成了就算制定出方法也無法找出高風險且極待解決的弱點,ISO 27002提供了很好
      的指引,可以試著以此內容請顧問師做適當的引導,從制度面或技術面(實體、網路或系統等)討論如何強化,才會有實際助益。

     

    4.內部稽核團隊的能力弱化

     

      此部分較重要的問題是內部稽核團隊的弱化,其中包括內部稽核員的訓練。現在很多輔導顧問對於內部稽核的訓練並不扎實,
      如:內部稽核的技巧,許多訓練課程在此階段的操練並不足夠,通常只用現有的計劃表與檢查表進行訓練,所訓練出來的稽核員
      對於檢查表與計劃表的用法可能不是很清楚,例如:不會規劃稽核計劃中自己負責的作業、不會規劃擔任之稽核人員、稽核查檢
      表不會查編、不會描述事實,以及缺失報告不知道如何決定適用條文,這些都使得內部稽核作業沒有辦法變成高階主管監控系統
      成效的一雙眼睛,導致制度的落實程度無法得到有效的監控。

     

    5.營運持續管理落實度不佳

     
      營運持續的最大問題在於營運持續關鍵過程的分析不佳,通常是因為BIA的結構性在ISO 27001的規定中不夠詳細,所以BCP就會造
      成很多漏洞,此問題也因客戶對於產品的理解不夠所造成。

     

      證書導向雖有問題,但做好BIA才是不二法門,就不會讓客戶在風險評鑑過程中,無法利用ISO 27001設立的規則找到促進資訊安
      全流程改進的起點。

     

        從以上的觀點可以得知,管理能力越強的企業,越能以穩固的心態好好打造制度面中需要討論的流程,其實資訊安全沒有偏門,唯有落實制度化、確定資訊安全流程與業務流程的觀點、將電子化的部份獨立出來,詳細的把資訊引用的過程做一安全思維,才能建構完整的企業資訊安全網。

  • 2012.09.10

    個人資料的後台管理ISO 27001

    只要在搜尋引擎輸入「個資外洩」這關鍵字,你會馬上發現案例還真多,但是,看在企業營運的角度,發生「個資外洩」事故,無論召開記者會或發新聞稿向社會大眾說明原由,當下一定無法評估商譽的損失,但是事件之後,「個資外洩」勢必成為營運會議檢討的主題之一。

    而「個資外洩」最常問的第一個問題就是「為什麼會發生個資外洩?」,協助回答這項問題的單位,想想一定是資訊部門,但是,資訊部門是輔助管理單位,並非主要個人資料使用單位,也因為個人資料使用與管理單位的業務流程差異很大,如何在個人資料使用、管理及舉證流程上進行標準化,已經是企業營運必須積極思考的議題。

     

    個人資料保護法99年4月27日在立法院三讀通過,於99年5月26日公告實施,雖然個人資料保護法施行細則還在研擬,但修正草案已在法務部「個人資料保護法施行細則修正草案預告相關資料」中可取得相關資料。

     

    而個人資料管理,從資料蒐集、儲存、處理、利用、傳遞到銷毀,依個人資料保護法第二十七條規定,需制訂管理計畫,且要有可追溯的機制,而電子資料的追溯管理,就需要有完整的管理流程來管制。

     

    依目前個人資料流管理機制,會參照BS 10012標準與個人資料保護法規來建立標準流程,而個人資料電子與紙本後台管理機制,會參照ISO 27001資訊安全管理系統來建立標準流程。

     

    ISO 27001資訊安全管理系統針對個人資料的管制,依適用性聲明要求的重點,應特別加強人力資源安全、存取控制、實體/環境安全管理、通訊與作業管理、系統發展與維護、資訊安全事件及事故、持續營運管理、遵行性的管理。

     

    建立組織完整的個人資料管理機制,可整合ISO 9001、ISO 27001、BS 10012、BS 25999及個人資料法規相關文件,讓組織日常管理、資訊管理、風險鑑別、風險處理與緊急應變有一套完整的管理機制,並將管理機制外顯讓客戶安心,進而提高商譽價值。

Q & A / 問答集

ALBUMS / 活動花絮

PROJECT / 輔導實例