政策與流程結合 輕鬆落實資安策略
為強化資訊安全,金管會鼓勵上市櫃公司導入ISO 27001國際標準,強化資安管理措施,並納入公司治理評鑑。台塑網資訊安全管理系統協助企業將ISO 27001管理標準與稽核作業相結合,將整套流程納入系統管制,協助企業提升資安防護力。
有鑑於駭客攻擊與資安風險日增,為確保金融與企業營運系統不中斷,金管會發佈「金融資安行動方案」2.0,並對上市櫃公司在資通安全管理方面,發佈相關指引,希冀增強企業資安防護能力,達到保護數位資產安全,降低惡意程式入侵及資料外洩等風險。
[ CIO 都在讀:【專訪】國家資通安全研究院副院長林盈達 ]
台塑網科技處長徐崇銘指出,政府鼓勵上市櫃公司導入ISO 27001標準,一是期盼降低資安事件對政府與企業營運之衝擊;再者,在ESG浪潮下,好的資訊安全管理,亦可提升企業治理能量,增加股東與企業利害關係人的信賴,有利企業形象及長期營運發展。因此在企業導入ISO 27001標準時,除通過認證外,在推動過程中, 更應掌握ISO管理說、寫、做一致的精神,切勿流於形式,資訊安全管理措施應與實務作業緊密結合,並透過系統將整套流程納管,方能審視與確實瞭解企業自身的資安狀態。台塑網科技推出的 ISO 27001資訊安全管理系統,正是要解決這方面的問題,讓企業透過系統更利於執行資安管理相關作業。
[ 加入 CIO Taiwan 官方 LINE 與 Facebook ,與全球 CIO 同步獲取精華見解 ]
政策指引、國際標準、資安管理系統相結合 全面提升企業資安防護力
企業在導入ISO 27001過程中,難免以取得認證為重要目標,但ISO管理的精神其實是落實 PDCA的循環,於日常即落實管理措施,並持續檢討與改善,若僅以取得認證為目標,將產生本末倒置的迷失,因認證通過不代表資安風險就會消失、管理就能確實到位,若未深思如何將資安制度落實於日常管理流程之中,且在缺乏相對應資訊系統支援下,企業即便通過ISO 27001驗證, 仍將面臨三大管理困境:缺少系統管制與統一標準,難以落實既定計畫與檢核機制,導致資安風險仍時有所聞。其次,在資訊統合方面,仰賴人力彙整各單位資料,不但處理時效受限,亦無法確保資料正確性,無助於提升資安防護力。另外在缺失管理上,亦因缺乏系統輔助,將難以妥善管理缺失事項與改善進度。
徐崇銘處長指出,台塑網科技推出的ISO 27001資訊安全管理系統,就是希望協助企業解決上述問題。此系統導入後,將可為企業帶來四大效益,首先是ISO條文規範數位化並與管理措施建立關聯,讓各單位執行時,瞭解為何而做,提升合規性與執行效率。其次將管理流程系統化, 依排定的查核計畫,讓各單位在內外稽檢核時能有所依循。第三點則是提供稽核與評鑑數據,協 助企業能進行評估與改善。最後則是完善資料管理,有利企業在資安管理方面重要資訊累積及經驗傳承,增強防護力。
近年來如台塑企業電子發票加值中心已順利通過ISO 27001驗證,諸多系統已納入台塑網ISO 27001資訊安全管理系統,希冀能為政府與所有企業夥伴在資訊安全管理做出最大貢獻。
(本文授權非營利轉載,請註明出處:CIO Taiwan)
-350x250.jpg)
