日本 Cyber Solutions Inc. 資安長不再疲於奔命的秘訣 讓資安落實在日常 由認證開始即運用數位平台協作

左為 Cyber Solutions 資安長 小平 政教；右為叡揚資訊 日本總代理 iGSS 社長 尚 勝巳。

資安驗證與一般驗證的差異在於，即使通過仍要時時繃緊神經因應突發狀況。這幾年資安事件頻傳，攻擊與入侵手法千奇百怪，再加上除了驗證單位的定期查核，不少客戶也要求到場稽核。身為資安長，必須要思考有效的方法，讓資安意識落實在每位同仁日常作業中，方能減少重工，真正降低營運風險。」日本 Cyber Solutions 資安長 小平 政教表示。

Cyber Solutions成立於2000年，為日本專業的套裝軟體與雲端服務提供廠商， 主要產品為電子郵件、郵件防護、郵件歸 檔管理、稽核加密等軟體；為台灣網擎資訊之日本總代理。經營理念為「持續提供日本企業安全的業務溝通平台」。至今於日本國內已累計超過2萬家客戶、註冊使用者超過400萬人，產品於東京都23區內公部門市佔率更高達35%。

資安不是口號 已是日常

隨著數位化時代的來臨，電子郵件軟體每日必須處理及儲存大量客戶往來溝通資料，內部難免亦包含個資等機敏內容。若軟體工具未能確保這些資料的安全，可能會面臨嚴重後果。Cyber Solutions 於 2007 年即通過國際資安標準 ISO 27001，另於 2020年 通過 ISO27018、ISO27017。期望透過良好的資安控管機制，提供日本國內客戶優質且安全的產品與服務。

ISO組織公告，若過去申請以 ISO 27001： 2013版本進行驗證之企業，須在2025年10 月31日前完成轉換。2024年公司必須重新申請多項資安驗證，ISO 27001必須以2022 年發佈之新版進行；當資安小組做此決議後，回想過去驗證準備期如排山倒海而來的龐大作業，不禁頭皮發麻。

自2007年通過驗證以來，中間經過不少次改版重新驗證，隨著人員的流動或職務調動，資安長也異動了幾次，每次異動都必須重頭來過。此次新版驗證，除了希望能將經驗留存下來，另一個重要目標是打破過去資安長一肩扛的舊例，由各單位協同分工，讓相關成員有參與感，自然地將資安意識的種子散播至全公司。

經過日本iGSS公司引薦，認識了叡揚資訊之Vital CMP驗證管理、Vital Knowledge 知識管理系統，期望可解決過去驗證作業遇到的問題與瓶頸，更能於驗證當天，快速且專業的展現成果予外稽人員，受稽同仁不再手忙腳亂。

過去驗證準備時期，並未以數位化工具輔助，佐證散亂地留存於各單位，並以 File Server共享；文件版本常不確定是否是最新的，搜尋更是不易；稽核當天也常面臨到花許多時間呼叫同事幫忙找佐證，或後補佐證文件的囧境；外稽後即使順利取得驗證，也常後繼無力，資安意識不易落實於日常作業。

在仔細了解產品後，發現在驗證協作上功能完整到讓人十分驚艷，除了分工協作方便明確，讓整個驗證過程都能留下足跡， 更便於經驗傳承下次參考、比對改善，減少人事異動困擾。系統十分彈性，不止資安驗證可應用，亦可彈性建立多個驗證作業；不同品質系統驗證（如 ISO 27018、 ISO 27017、ISO 9001…等）若有相同佐證，只要透過連結方式連結即可，不用重複上傳，是企業數位轉型、無紙化經驗傳承、落實品質控管非常好的基礎建設。

授之以魚不如授之以漁

了解系統功能後，資安長即開始規劃使用方式。由於 ISO 27001 條文並不容易理解，ISO 27002 為資安控制措施指導方針，指引內容橫跨 ISO 27001、ISO 27018、ISO 27017，決定於系統內建立 ISO 27002 條文，讓各負責人及所有參與之協同人員，皆可依各自負責之條文內容，清楚地理解資安相關控制措施、目的，及指引方針，以利種子成員指導部門內其他同仁，進而落實於日常作業。

導入後除了可運用系統條文管理功能，將 ISO 條文建置於系統內；依據條文設定負責人，負責人可邀請協同人員共同執行， 分工清楚且明確；資安長亦可於系統內檢視各條準備進度與待辦處理狀況。

經過各單位通力合作，將日常相關產出依各自負責範圍上傳連結為佐證，2024 年 3 月正式驗證稽核當天，因運用系統 無紙化且快速專業的展現佐證與成果，獲得日本驗證公司 BSI 之高度正面肯定， 順利一次取得 ISO 27001:2022、ISO 27017:2015、ISO 27018 驗證。

資安即日常，通過驗證後至今，各單位仍依資安規範，定期執行相關日常作業，並將作業產出上傳至知識管理系統留存成為定期、不定期稽核之佐證；臨時的外稽來訪，不再手忙腳亂，資安長也已無須每次陪同受稽，資安意識與習慣，已透過數位平台，自然的落實於日常作業。