全公司通过ISO 27001认证 资拓宏宇积极强化IT服务

资拓宏宇网安长张文彬。

提及ISO 27001认证，相信许多台湾企业都不陌生，早在十几年前，政府便明确规范，要求A、B级单位应通过ISO 27001认证，连带引起民间企业的重视，只不过碍于各种考量，大多数企业都将导入范围限缩在1~2个部门，像资拓宏宇这样全公司导入且没有聘请外部顾问辅导的做法，相当少见。

「其实，资拓宏宇信息部门早就取得 ISO 27001认证，只是现今企业数码化程度日深，网安防御也日益重要，因此规划将认证范围扩大到全公司，希望让全员上下都具备网安警觉与防护意识，以确保信息服务品质」资拓宏宇网安长张文彬说明当初决定全公司导入的原因。

凝聚全体共识  是成功通过认证的第一步

在决定由信息部门扩大到全公司导入后，资拓宏宇的第一步就是争取资源、凝聚共识，先向各高端主管说明ISO 27001认证的意义与重要性、取得支持，再透过不断地教育训练课程，由上而下将此观念推导到基层员工心中。

前置时期资拓宏宇每年至少办理8场实体的信息安全教育训练及3堂在线课程，并针对同仁的职阶与职务规划不同内容，为的就是让每一个人都能清楚自身在信息安全中的角色与职责。

由于遵循CMMI制度多年，内部亦具备信息安全管理的技术及能力，资拓宏宇决心不假顾问辅导，在各部、处遴选种子成员60余名进行ISO 27001主导稽核员的培训，并取得证书，藉由种子成员去推动相关认证作业，最后再透过内部稽核程序，反覆验证各项网安管控机制的落实度，及有无需要改善之处。

资拓宏宇主要业务是为企业或政府开发信息系统，过往在执行专案过程中，也会有客户提出至公司网安稽核的要求，而2020年因为导入ISO 27001的缘故，刚好可以将作业结果呈现给客户，不只顺利通过客户网安稽核，在这过程中也加深同仁对导入ISO 27001的认同感，并为此而更加努力；受稽后的专案同仁在例行性管理会议上主动分享相关经验，吸引其他事业群同仁跟着仿效学习，在内部营造出一股积极正向的氛围。

「2020年11月，在导入到一定程度后，原本想针对重点单位进行readiness review就好，没想到行政管理单位竟然主动要求加入，最后就变成全公司review」张文彬笑着分享导入过程中的趣事。

这段小插曲充分显示出资拓宏宇内部每一位员工对导入ISO 27001的重视，并严格自我要求将网安相关管控措施内化成日常作业习惯，成为资拓宏宇能够成功通过认证的关键。

未来将借助母公司经验  持续提升整体网安防御能力

从2020年初决定到2021年初取得认证，资拓宏宇不只投入超过百万元的验证费用，所动员的人力和时间成本更是难以估算，「虽然辛苦却相当值得」张文彬语气肯定地说，藉由ISO 27001导入，不只培育出公司内部的网安人才，更找出一些以前没有注意到的作业风险，进而规划相应管控机制、提升整体网安水准。

举例来说，信息安全作业规范于存放于不同的内部平台中，此番经过汇整后集中于一处，还加入FAQ，不仅便利查找还能维持信息的一致性；而过去在登入主机或重要系统时，以前只需输入帐号口令，如今则需要双因子认证，确认登入者为有权限的本人。

又如同仁以前没有锁柜子的习惯，现在只要一进到公司拿取完需要物品后，就会立刻上锁，而且即便短暂离开座位也会把电脑收起来，避免数据在无意中外泄的风险。诸如此类的作业，均已经内化为作业的习惯。

虽然资拓宏宇已经顺利取得ISO 27001认证，但张文彬表示未来还会继续努力，希望引进母公司中华电信的经验，深化各网安管控措施的自动化与系统化程度，并持续针对各个同仁进行适合的网安教育训练。

张文彬表示，「毕竟网安风险管控与防御是一条永不止息的路，资拓宏宇将以母公司经验为基础，持续地自我要求和进步，希望为客户提供更安全高品质的信息服务。」