2020/09/01 | 電子報No.0178期 | Jerry 商嘉瑞

資通安全管理法已通過逾2年,越來越多的機關與企業開始重視資通安全,同時也開始要求承接其資訊系統開發的廠商,落實自主資安管理,並訂定各項資安檢核作業與標準程序。為讓資安工作成為日常各項作業的重要項目,瑞竣科技於今年初投入資源,導入資訊安全管理制度(ISMS),並且於日前通過ISO 27001:2013驗證,除了從流程面著手,為了更主動積極面對系統建置成果的資通安全議題,更投入大量經費分別採購訂閱制的網站弱點掃描軟體Acunetix與軟體程式原始碼掃描軟體Checkmarx,在交付客戶前進行必要的掃描與安全修復,對於我們的系統開發客戶,提供了更進一步的資訊安全保障!

epaper0178_01

▲ 瑞竣科技於今年初投入資源,導入資訊安全管理制度(ISMS)

 

為了讓所有資訊系統開發的同仁都能夠了解ISMS制度上的要求,瑞竣科技在主管與同仁們的共識下,將整個開發團隊全部納入認證範圍,除了公司內部的資訊環境,亦包括專案管理、業務需求、程式開發、測試營運、備援備份各面向,導入與受驗證團隊為50人等級,而非象徵性的少數人員納入認證。因為我們知道,唯有將所有軟體、系統、資訊環境等各環節都納入,訂定合於ISMS精神的規範,並且在每日的工作中實際落實,才能讓整個資訊系統開發達到資訊安全管理制度的要求。

epaper0178_02

▲ 「ISMS資訊安全管理 (50人受驗證等級) 」導入過程

 

為了讓導入ISMS能真正地與工作流程結合,除了新訂定的規章之外,也同時將既有的管理規章配合調整,盡量減少既有工作流程的大幅調整,因此整個時程長達六個月。為讓導入ISMS的成果能夠持續地在內部運作,不斷地循環改善與提升,瑞竣科技也積極地培養自有的稽核團隊,安排認證範圍內各類職務角色同仁接受ISO 27001資安管理系統主導稽核員訓練。同仁需要忙碌的專案開發執行過程中,額外參加40小時的稽核員教育訓練後經由測驗後通過認證。瑞竣科技一共培訓出9位主導稽核員,皆獲得頒發IRCA認可的證書。未來,需要由這些有正式主導稽核員認證的同仁們,協助對內部各項 ISMS 政策執行,同時也可以參與對客戶服務的資安管理稽核任務。

epaper0178_03epaper0178_03

epaper0178_04

▲ 獲頒IRCA主導稽核員證書的9位成員

 

真正的重頭戲在對內各項資訊安全的政策擬定,並提出符合ISMS精神的四階程序書,將導入範圍各項資安資產進行盤點與進行風險評估,同時調整內控程序,一律以文件內容需要完全符合實際運作現況為目標。因為瑞竣科技本次導入的對象人數為50人,工作領域涵蓋廣泛,也花費了較長時間來逐一擬定程序書、清查、確認、修改等,透過滾動式的作業,讓我們內部流程可以做、說、寫一致,確保資通安全的機密性、完整性與可用性與法規遵循性。經過無數次的文件與作業方式修改調整,終於在2020年6月份由具有國際驗證公信力、我國TAF認可的第三方驗證機構來到瑞竣科技進行兩階段稽核審查,過程中瑞竣科技各項資安程序書與作業方式都被委員鉅細靡遺地反覆確認,完全沒有主要缺失後,通過符合ISMS認定,於2020年8月14日獲頒我國財團法人全國認證基金會(TAF)審驗通過的文件。

epaper0178_05

▲ 榮獲由財團法人全國認證基金會(TAF)認證的正式文件

 

資訊安全的制度不是一個口號,也不是一張證書就可以永保無虞,而是需要在日常的管理中納入資安的規範,這也我們自許系統開發團隊全員導入的原因,套句流行話”資安就是我們的日常“。未來您的各項委託工作我們絕對以嚴格品管方式執行,確保每一項交付的成果都滿足需求之餘,也可以有效控管資安風險。通過認證對瑞竣科技而言不是一個結果,反而是另一個更嚴謹的開始,我們有信心在後續持續不斷地精進作業流程,將資安風險降至最低,持續站在資訊業界最前端的浪頭上。

epaper0178_06

▲ 本公司通過驗證的團隊大合照

 

更多有趣的地圖資訊都在「瑞竣科技 給您地圖新鮮事」,馬上Follow


Author
Jerry 商嘉瑞

任職於瑞竣科技應用系統事業部,對任何事物都保持好奇心,平常喜歡:閱讀,古典音樂、LEGO。