全公司通过ISO 27001认证 资拓宏宇积极强化IT服务
提及ISO 27001认证,相信许多台湾企业都不陌生,早在十几年前,政府便明确规范,要求A、B级单位应通过ISO 27001认证,连带引起民间企业的重视,只不过碍于各种考量,大多数企业都将导入范围限缩在1~2个部门,像资拓宏宇这样全公司导入且没有聘请外部顾问辅导的做法,相当少见。
「其实,资拓宏宇信息部门早就取得 ISO 27001认证,只是现今企业数码化程度日深,网安防御也日益重要,因此规划将认证范围扩大到全公司,希望让全员上下都具备网安警觉与防护意识,以确保信息服务品质」资拓宏宇网安长张文彬说明当初决定全公司导入的原因。
凝聚全体共识 是成功通过认证的第一步
在决定由信息部门扩大到全公司导入后,资拓宏宇的第一步就是争取资源、凝聚共识,先向各高端主管说明ISO 27001认证的意义与重要性、取得支持,再透过不断地教育训练课程,由上而下将此观念推导到基层员工心中。
前置时期资拓宏宇每年至少办理8场实体的信息安全教育训练及3堂在线课程,并针对同仁的职阶与职务规划不同内容,为的就是让每一个人都能清楚自身在信息安全中的角色与职责。
由于遵循CMMI制度多年,内部亦具备信息安全管理的技术及能力,资拓宏宇决心不假顾问辅导,在各部、处遴选种子成员60余名进行ISO 27001主导稽核员的培训,并取得证书,藉由种子成员去推动相关认证作业,最后再透过内部稽核程序,反覆验证各项网安管控机制的落实度,及有无需要改善之处。
资拓宏宇主要业务是为企业或政府开发信息系统,过往在执行专案过程中,也会有客户提出至公司网安稽核的要求,而2020年因为导入ISO 27001的缘故,刚好可以将作业结果呈现给客户,不只顺利通过客户网安稽核,在这过程中也加深同仁对导入ISO 27001的认同感,并为此而更加努力;受稽后的专案同仁在例行性管理会议上主动分享相关经验,吸引其他事业群同仁跟着仿效学习,在内部营造出一股积极正向的氛围。
「2020年11月,在导入到一定程度后,原本想针对重点单位进行readiness review就好,没想到行政管理单位竟然主动要求加入,最后就变成全公司review」张文彬笑着分享导入过程中的趣事。
这段小插曲充分显示出资拓宏宇内部每一位员工对导入ISO 27001的重视,并严格自我要求将网安相关管控措施内化成日常作业习惯,成为资拓宏宇能够成功通过认证的关键。
未来将借助母公司经验 持续提升整体网安防御能力
从2020年初决定到2021年初取得认证,资拓宏宇不只投入超过百万元的验证费用,所动员的人力和时间成本更是难以估算,「虽然辛苦却相当值得」张文彬语气肯定地说,藉由ISO 27001导入,不只培育出公司内部的网安人才,更找出一些以前没有注意到的作业风险,进而规划相应管控机制、提升整体网安水准。
举例来说,信息安全作业规范于存放于不同的内部平台中,此番经过汇整后集中于一处,还加入FAQ,不仅便利查找还能维持信息的一致性;而过去在登入主机或重要系统时,以前只需输入帐号口令,如今则需要双因子认证,确认登入者为有权限的本人。
又如同仁以前没有锁柜子的习惯,现在只要一进到公司拿取完需要物品后,就会立刻上锁,而且即便短暂离开座位也会把电脑收起来,避免数据在无意中外泄的风险。诸如此类的作业,均已经内化为作业的习惯。
虽然资拓宏宇已经顺利取得ISO 27001认证,但张文彬表示未来还会继续努力,希望引进母公司中华电信的经验,深化各网安管控措施的自动化与系统化程度,并持续针对各个同仁进行适合的网安教育训练。
张文彬表示,「毕竟网安风险管控与防御是一条永不止息的路,资拓宏宇将以母公司经验为基础,持续地自我要求和进步,希望为客户提供更安全高品质的信息服务。」