叡揚導入ISO 27701 & 27018 & 27001 並通過驗證 全面落實資安防護與個資保護

身為上櫃公司資安小組負責人，面對外在環境的各種惡意破壞和攻擊事件新聞不斷，如何站穩腳步堅定的帶領公司資安小組，一步一腳印確實地做好公司資通訊環境本身、公司所提供雲端服務、客戶專案系統的資安防護措施，聯手顧客端的承辦和資安人員，集結業界廠商力量，互相搭配聯手防護抵擋各類惡意的攻擊和侵害，這是資訊科技界的顯學，尤其是在最近幾年對應駭客手段無所不用其極的狀況下改變更為明顯。

回顧個人投入心力在資訊安全事項的推動，已近10 年時間，本身從應用系統軟體服務的專案管理轉而開始涉獵資訊安全事務，學習ISO 27001 資訊安全標準考取證照，參與並主導資安小組的各項推動事宜，從公司雲端服務驗證資安標準，到逐漸擴大公司的驗證範圍，直到今年，公司所有服務事業處、業務處、行政部門代表，都已納入ISO 27001 驗證範圍，合計超過550 位同仁在ISMS範圍，導入和稽核規模浩大，應該也屬於業界少見，除了27001 外，也陸續導入ISO 27018( 雲服務個資保護)、ISO27701( 隱私資訊管理制度)，並通過驗證，這一路以來的推動過程，整理如下列重點：

透過資安標準強化雲服務的資安防護

10 多年前，公司的雲端服務思考要導入資安標準，這個決定著實是很好的開始，因為，除了導入管理制度並符合外，在資安防護的措施和技術必須隨之強化，才能逐次通過驗證並持續改善。

指派資安官共同推動是很好策略

公司各個事業處的業務性質有顯著不同，單單靠Corp. 單位推動管理制度，有其難以使力難為之處，在逐漸擴大資安驗證範圍的同時，採取的策略是由事業處指派資安官加入資安小組共同推動，這是轉化困難成為助力的好方法，值得業界與客戶參考。然而，這些資安官都是在資訊技術上有主導性的主管或資深人員，每每資安小組的月例會，時常因為管制措施的做法和強度的拿捏而展開激烈的辯論，身為資安小組主要負責人，採取的方法是引導資安官們共同探討不同措施的優缺點，終究通過共識和重點式的堅持與說服，順利帶領資安小組完成計畫與任務。

公司在重視資安和個資保護議題上的關注和落實執行的決心，正巧是個人10 年來在資安事務的歷程，再將經驗和心得彙集整理，希望可做為類似公司或者有相同觀點的資安先進和技術專家參考。

關注公司營運的資安治理與管理

公司資安管理組織架構已受董事會監督，在董事會層級成立資安委員會，定期報告執行計畫和成果，以確保串聯公司治理及重視營運方針。

此外，實施重點透過對應NIST 資安架構模式，檢視防禦縱深和各防護面向的廣度是否合宜和具備足夠強度。

符合雲服務防護需要的資安標準

公司SaaS 雲端服務建置於世界雲端大廠平台環境，已受到一定程度的防護，然而，雲服務產品本身的研發過程與維運流程，能否滿足軟體開發生命週期資訊安全的指引，確實需符合國際標準的要求和確認。

雲服務的個人資料保護尤其重要，服務內有客戶的個資，更有客戶的客戶的個資，在需要實施嚴格的國際標準和程序，ISO27018 具備對應控制要項和措施公司針對主要幾項涉及較多個人資料的雲服務導入此標準，以確實完善保護雲服務個資。

聯手防護的資安策略

公司秉持專注於軟體開發服務數十年的精神與經驗，重視客戶與公司的長期夥伴關係，在共同面對駭客的惡意破壞與攻擊的敵暗我明資安戰之下，抱持著武裝好自己成為資安意識與防護強的廠商，攜手機關客戶或民營企業客戶，成為資安聯合防護網。

資安聯合防護網
抱持著武裝好自己成為資安意識與防護強的廠商，攜手機關客戶或民營企業客戶，成為資安聯合防護網。

以上三大面向對於公司這樣軟體服務廠商而言不能偏廢，更需要全公司主管和同仁共同支持並努力精進。此外，搞破壞的駭客，其目的除了破壞公司形象和商譽之外，目的往往在於竊取個人資料以進行詐騙行為獲取不當利益，在資安防護上保護個人資料尤其是重中之重的關鍵，公司在10 幾年前啟動符合個人資料保護法等管理辦法並實施管制程序，顯見這個議題的重要性， 今年(2022) 公司也首次導入ISO27701 隱私資訊管理制度並通過驗證。

可預見的未來，公司在資安防護和個資保護議題上，勢必一如既往，秉持堅定的信念和落實執行的態度，確確實實作好各項防護措施，並善用各類工具和平台，達成資安政策與個資保護目標。