ISO 27001:2022 新規上路，叡揚資安聯手 Secure Code Warrior 助企業實現合規

與叡揚資安課程結合並為臺灣市場量身設計多元彈性訂閱模式

原文連結: ISO 27001:2022 新規上路，叡揚資安聯手Secure Code Warrior 助企業實現合規| iThome

左起：叡揚資訊資安事業處副處長李佳凌、處長范家禎、Secure Code Warrior CSO David McKeough、Enterprise Account Executive Gabriel Altman、叡揚資訊資訊長蘇瑞亨

　　ISO 27001:2022 改版新增的重點之一是要求開發者具備安全程式能力。叡揚資訊協助企業取得 ISO 認證有豐富經驗，加上針對開發人員的資安課程備受好評，搭配能提供課程訓練與檢測團隊能力的 Secure Code Warrior 平臺，正是企業落實安全開發、取得 ISO 27001:2022 認證的最佳夥伴。

　　面對無孔不入的惡意威脅，不少企業都會透過取得 ISO 27001 認證，除可減少公司內部資安漏洞數量，降低遭到駭客入侵的機會外，也同步對外展示落實資安防護的決心。不少政府部門更將 ISO 27001 認證，作為評估供應商的標準之一。而隨著資安事件持續在世界各地爆發，可訴求軟體專案開發初期即納入資安思維的安全開發（ Secure Coding ）議題，近幾年被認為是降低資安事件的最佳解方之一。

　　為接軌最新資安趨勢， 國際標準化組織（ International Organization for Standardization，簡稱 ISO ）於 2022 年發布 「 ISO 27001:2022 」，其中 8.28 項新增的重點為安全程式碼撰寫（ Secure Coding ）。該條文明訂企業在開發前階段，要求開發者必須具備安全程式碼能力資格，開發階段則需使用安全程式開發技術、禁止使用不安全設計等。至於開發後期階段，則必須達成妥善保護原始碼避免遭受竄改、確保部署過程中之安全等事項。值得一提， ISO 27001:2022 轉版期限為 3 年，企業必須在 2025 年 10 月完成相關準備工作，否則將無法取得 ISO 27001:2022 認證，即早部署轉版計劃成為企業應重視的課題之一。

　　叡揚資訊資安事業處處長范家禎指出，叡揚在協助企業取得 ISO 27001 認證部分，已累積非常豐富的經驗與技術能量，很高興能與 Secure Code Warrior 深化合作，透過繁體中文化的教材與課程內容，協助更多企業與開發人員了解安全開發的重要性，以及在軟體開發過程中可能面臨的各種威脅與威脅類型。如此一來，企業在取得 ISO 27001:2022 認證之餘，也能在公司落實安全開發的文化，進而提升在商業環境中的競爭力。

　　Secure Code Warrior CSO David McKeough 表示，新版本的 ISO 27001:2022 重點之一，要求企業必須透過更多管理機制達成安全開發的目的。在全球各地備受歡迎的 Secure Code Warrior 平臺，已被許多企業用於提升開發人員的安全開發思維，也累積非常多成功案例。在此基礎下結合叡揚資訊的顧問團隊服務能量，絕對是臺灣企業通過 ISO 27001:2022 認證的最佳幫手。

　　叡揚資訊資安事業處副處長李佳凌表示，叡揚資訊推出資安學程多年，目的在協助開發人員提升安全思維，也能提供非常完整的安全程式開發指南。結合 Secure Code Warrior 平臺，可驗證開發者是否具備安全開發的能力，搭配叡揚完整的顧問團隊服務，自然能助企業順利取得 ISO 27001:2022 認證，同時達到減少軟體專案漏洞的目的。

　　Secure Code Warrior 提供安全程式能力檢測模組，能輕鬆量化開發人員的安全開發能力，甚至企業能將檢測模組應用於面試開發人員的情境，於正式面試前即要求面試者完成安全程式能力測驗！能力測驗模組當然不僅可應用在面試開發人員上，也可檢視現有的開發人員於各種漏洞的解決能力，並根據弱項再加強，同時可符合 ISO27001:2022 A8.28 Secure Coding 之最新要求「組織宜審核開發者撰寫安全程式碼之資格。」

Secure Code Warrior 平台內建多種測驗範本（如：OWASP TOP 10），可因應需求彈性自訂或調整測驗內容