漫談資安稽核-導入資安稽核與通過資安標準驗證

這邊先不提資訊安全有多重要，相信各位在網路上隨手一查就可以得到資訊安全同等企業、機關或個人身家安危重要性…等族繁不及備載的說明與佐證。就法規面來說，隨著行政院成立數發部、並在2023年推動及大幅修正資通安全管理法，便意味著旗下各機關部會必須逐步導入、落實、並通過「資訊安全管理系統(一般簡稱ISMS，全名Information Security Management System)」相關驗證。

聊聊資訊安全系統ISMS與國際標準ISO 27001

現在最常聽到的就是說，我們要通過ISO 27001認證，所以要導入ISMS，接下來就接到要配合長出一堆文件、表單、會議、以及各種繁瑣的簽核流程的任務，平常的工作就做不完了，多了這麼多額外的業務，就會讓組識的運作更安全嗎？

其實一開始，自己也困惑質疑了許久，直到歷經超過10多載，從ISO 9001到ISO 27001(兩個版本)的驗證，希望用本身理解的方式解釋分享一下整個故事，畢竟在要求遵守法律規範之前，講清楚說明白，也有利後續推動推廣，至少讓參與者接受度相對提高。

資訊安全這件事情，不是只有電腦設備或系統的安全，從執行業務，產生資料或資訊(紙本資料、電子資料…)開始，就涵蓋在資訊安全範疇內，所以平常的工作流程、作業辦法、各種會議，都要進行資訊安全管理(控管)。

那要怎麼做才能提升資訊安全呢？就是運用各種彼此獨立卻又能互相關聯的管理方法、機制來達成各方面的資訊安全目標。簡而言之，即是使用(導入)資訊安全管理系統(簡稱ISMS)。

所以，ISMS可以用很厲害的文件管理軟體執行，也可以用單純的試算表工具執行，只要你把資訊安全管理的方法定義好，使得整個組織的運作能符合常見、廣為接受的資訊安全管理國際標準(如ISO 27001)，就可以了。

那怎麼證明所做的一切真的符合標準呢？那就是要：

通過驗證：驗證由公正獨立第三方驗證機構執行，例如：BSI、SGS、BV、TUV NORD、UL及AFNOR…等，知名的驗證機構。
取得國家認證機構的認證：國家認證機構：例如中華民國TAF、英國 UKAS、美國ANAB。

取得的ISO 27001證書上會有前述的驗證機構及認證機構的標章。因此，導入資訊安全管理系統(ISMS)跟ISO 27001才會常常同時出現。

最後稍微提一下ISO 27001標準，它的英文全名：Information technology - Security techniques - Information security management systems - Requirements，直譯就是「資訊科技—安全技術—資訊安全管理系統—要求」。簡單來說，符合這個標準，大致上要完成下面幾項工作：