據統計,全球每30秒即發生一次駭客攻擊,而在過去疫情肆虐的一年,台灣由於所處的環境特殊,加上企業組織高度依賴數位工具進行遠距工作,資安風險顯著提升。加以資安法公告及公司治理的意識提升,都促使各機關企業更重視資訊安全。
過往因著產業別、企業文化,甚至是組織架構的不同,資訊安全的觀念與實務,也有著不一樣的落實方式。國際標準化組織 (ISO,International Organization for Standardization)則提供了可遵循的方向,訂定出ISO 27001、ISO 27014、ISO 27017、ISO 27018與ISO 20000等與資訊安全或資訊服務管理直接相關之標準。而在國際上最被廣泛採用的ISO 27001,亦已被特定法規與產業列爲強制性要求,此法規亦將於2021年再度更新改版,以因應國際趨勢的變化。ISO 27001資訊安全管理系統 (ISMS,Information Security Management System) 之所以受到全球重視,乃因其可由縱向管理層面到橫向執行層面達成全盤考量,並可藉由風險管理的過程,強調機密性 (Confidentiality)、完整性 (Integrity) 及可用性 (Availability) 三大構面,協助機關企業架構起全面性的管理流程與制度,有效控管並降低資安風險。
資訊管理除了攸關企業組織的安全性外,更多是來自於因系統遭受侵害而面臨資料外洩的議題;2019年全球遭非法外洩資料超過160億筆,2020年第一季資料外洩更高達到80億筆為史上之最。因此與個資保護相關的國際標準中,英國標準BS 10012與國際標準ISO 27701亦受到眾多機關企業所關注。BS 10012 (PIMS,Personal Information Management System) 是施行「個資管理」與遵循「法令法規」要求的重要參考標準之一,多數金融業、電信業或多層次傳銷業亦皆已建置PIMS並通過第三方驗證。而ISO 27701 (PIMS,Privacy Information Management System) 則是ISO國際標準化組織於2019年8月正式發布之新標準,該標準是ISO 27001與ISO 27002在個資管理上的延伸標準,其增加了特定的隱私要求與實作指引,逐漸受到國內企業組織之關注並陸續導入。可以預期BS 10012與ISO 27701個資管理相關標準在不遠的來將能為企業組織帶來正確且有效的個資保護,並協助企業組織展現遵循個資法之決心及善盡個資管理的己任。
在台灣,除ISO標準可做為資安建置的指引外, 2019年正式上路的資通安全管理法,也為「公務機關」以及「特定非公務機關」定義了全方位的資安框架與要求,並藉由應辦事項以及資通系統防護基準,來落實各級機關的資安防護措施。2020年底資安法更進一步修訂,擴大其適用範圍至軍事及情報機關,並提高部分公務機關的資安責任等級,及調整資通系統防護基準要求以更符合實務運作需求。
SGS乃國際最具公信力之驗證機構,歷往為各級機關企業執行稽核,具備豐富的稽核經驗,在此特為受資安法規範之機關企業整理出下列提升系統管理效果的重點:
(1) 獲得高階長官的支持
(2) 提升資安治理層級並與核心業務整合
(3) 動員組織全體參與及提升資安意識與能力
(4) 合理分配與投入資源
(5) 落實縱向與橫向的資安狀態回報、分享與查核
(6) 提升資安防護強度
(7) 持續評估與強化資安治理成熟度
身為業界之領先者SGS資訊服務團隊在台灣服務超過400家客戶、市占率40%以上。我們提供最廣泛的資訊管理驗證服務,如:資訊安全、個資管理、營運持續、雲端安全、資料中心機房維運,二者查核及供應商查核、IV&V獨立驗證及確認等服務,以最完整的解決方案與最專業的驗證稽核,為各產業、各領域、各機關企業提供資訊驗證之服務並藉由SGS Academy管理學院的專業訓練課程,協助您的組織成員具備應有的資安知識,促進您的企業資訊安全之有效性,以及協助您強化資安治理。
SGS 稽核與驗證服務:https://reurl.cc/1gbmLY
SGS Academy管理學院:https://twap.sgs.com/trainsys/