台灣近幾年開始大幅增長了通過資訊安全驗證的風潮,尤其在《資通安全管理法》的推波助瀾下,更有了「資安即國安」的國家資通安全戰略,使得政府機關與民間單位更加重視資訊安全,也唯有守護組織的資訊安全才能鞏固一切。

《資通安全管理法》下包括了幾個子法,其中《資通安全責任等級分級辦法》訂出政府機關及特定非公務機關應被核定資安責任等級,並且根據其責任等級完善並提報應辦事項的成果,這形同將資訊安全提升至法律層級並約束其相關對象。

再深研之,可以看見此法規定A級與B級機關皆須通過CNS 27001ISO 27001或同級之驗證,所謂驗證就是根據CNS 27001ISO/IEC 27001(以下均簡稱ISO 27001)進行合規的驗證。所謂合規,便是指合乎於規定、規矩、規範,將組織的資訊安全作為合於ISO 27001標準的要求。近幾年ISO 27001幾乎是組織裡的「標配」,在過去組織通過ISO 27001的驗證可以宣稱是一件很偉大的事情,但目前通過ISO 27001驗證幾乎已經是標準門檻,如果沒達成恐怕還在安全基準(baseline)以下。

我們不妨用一些舉例方式來鼓勵大家吧!政府機關存在的目的是為民服務,也就會保有民眾的個資,如果機關通過了ISO 27001驗證,直接證明其資訊安全具備合規的框架與政策,也間接代表著機關具備一定的資訊安全管理能量,對於民眾個資的保護也就多一道防護,這也意味著我們開始信任其運作過程中對於民眾個資的管控,不至於輕易地外洩或損毀。再者,民間企業最終是為了增加營業額,但在生產的過程中就有一些重要的營業秘密或專利技術,這些都是要保護的項目,如果企業通過了ISO 27001驗證,直接或間接代表著對於資訊安全的重視,也象徵著可以有一定的能力保護好內部重要資訊,進而使得客戶對企業具備資訊安全管理的信心,提升彼此合作的意願。

當然講到這裡就會有人開始質疑,我們不是經常在新聞中聽到某些機關或民間企業發生了資料外洩案件嗎?哪裡還有資訊安全可言?

質疑的聲音我們一直聽得見,但不妨做一個初步的說明吧!資訊安全不可能是密不通風的,多年來資訊安全的實施多少都會與資訊使用的便利性相斥,越是安全、越是不方便。我們在組織建置和推展資訊安全活動的過程中,都會與組織文化業務流程人員認知預算成本等條件息息相關,考量的面向諸多,因此資訊安全不是一成不變的活動,必須要根據組織面對的外部環境(如威脅趨勢)和內部環境(如組織文化)因素進行討論與調整,並將合適的資訊安全管理措施融入組織內,使每位員工了解並遵守,進而增進對資訊安全的認知,並在未來進行適度的改善。

我們相信ISO 27001是驅動組織資訊安全推動的良好動力,未來希望有機會提供您相關的建置與驗證服務,期待您與我們聯繫並建立合作,為組織共盡一份資訊確保的心力。

作者:潘柏廷 Conrad Pan

現職:亞瑟國際驗證專任資安技術專家,資深資安教育者,曾任資安輔導顧問,專長領域為資安、個資、人工智慧