企業應用產品處導入 ISMS 與取得 ISO27001 認證歷程

魏劭芸 2021/09/09

ISMS 是什麼，為什麼我們要導入

ISMS 為資訊安全管理系統 (Information Security Management System) 之簡稱，為一套有系統的分析和管理資訊安全的作法。現今資訊流通的方式有百百種，企業或機構希望達到 100% 的資訊安全比登天還難，但總是希望可以藉由對於資訊財產進行全面盤點以及分析，來認知到可能會面對的資安風險並對其做出處理以及管控，盡量減低不可控的風險以確保企業資訊安全。 

ISMS 為資訊安全管理系統 (Information Security Management System) 之簡稱

而 ISO27001 則為國際標準組織 (International Specification Organization) 所提出以檢驗資訊安全系統的標準，也是目前國際於資安領域中廣泛使用及認可的規範。企業或機構導入 ISMS 資訊安全管理系統並取得 ISO27001 國際認證的好處有許多，一般不外乎因為以下原因:

1. 保障營運穩定: 主動面對企業資安議題，積極管控潛在風險，確保營運持續性

2. 符合規範: 通過驗證的 ISMS 系統也能確保企業在處理資料時，是依循相關受規範的法律來設計其控管機制。例: 個人資料保護法、資通安全管理法...

3. 提升企業競爭力: ISO 27001 為國際標準，能有效提升客戶對於企業的信心，同時也能夠取信於國際市場

近年來無論是法規或是在機構營運上在於資安議題的重視越來越高，甚至有許多企業、公家機關在選擇資訊相關服務的廠商，會要求服務承接方不只須遵守組織的資訊安全規範以外，其承接方也必須同過 ISO27001 驗證，方能進行服務的合作。因此對於企業來說，建構一套具有 ISO27001 認證的 ISMS 系統，不只是單在維護資訊安全上所做的努力，同時也成為具有商業價值的策略安排。這也是為什麼企業應用產品處選擇要將我們現有的資訊安全規劃，提升至具有國際標準認證的 ISMS 系統的原因。

顧問輔導 - 處內開始建構 ISMS 系統

導入前，我們應該要了解那些事?

確定要導入 ISMS 並以通過 ISO27001 為目標後，因為團隊並無資安專職人員，過往也沒有相關資安系統導入以及準備驗證的經驗，我們請了顧問來協助。從最開始資訊安全概念介紹到對現有的資源進行盤點、風險認知以及管控；當企業面對資訊安全威脅時，能夠藉由建構的 ISMS 系統規範來即時進行應對處理，同時保護組織免於受到過大損失，甚至影響到其他相關利害關係者以及客戶等，全面性的帶我們了解為什麼要做、要怎麼做以及如何做。

資安小組的成立與系統範圍界定

導入前期，組織會先需要指派資安小組成員負責建構以及維護整個資訊安全管理系統並向上取得資源支持。而顧問會與核心成員以及負責人討論此次我們導入的"範圍"。普遍上我們認知，整體組織都應納為管理系統的範圍當然是對於企業最好的做法，然而礙於 ISMS 的導入其實並非簡單的丟出規則請大家遵守即可，而是涵蓋了從議題鑑別、風險評鑑與控管、程序文件及表單建立、內部執行、外部審查等一連串持續改進的過程，在初期就將整個組織範圍納入管控標的，對於整個系統在推行時可能會因過於龐大且複雜反而無法推行，造成反效果。更別說在接受 ISO27001 的驗證時，會是以所匡列範圍的大小以及匡列人員來進行稽核以及收費，對於企業來說會是龐大的費用支出以及資源投入。

資訊安全系統範圍不僅包含資訊本身，實體環境、人員管控、基礎設施等皆在應考量的範圍內。

(ref. Adobe Stock)

因此最後我們此次申請 ISO27001 認證的 ISMS 系統範圍為: 本公司企業應用產品發展處程式開發作業流程之機房、網路、辦公環境之資訊安全活動。人員的部分則是納入我們台北及高雄辦公室與開發作業流程相關之人員。目前企業應用產品處所發產之企業應用產品線(digiFusion) 提供企業級 API 管理平台 - digiRunner、一站式 Log 整合平台 - digiLogs 以及 MongoDB 管理顧問服務 - digiMars。期望透過 ISMS 的建立能夠更加嚴謹的規範我們的產品開發流程，落實組織內部資安專業與思維以進一步體現對客戶的信任承諾。

規畫與實踐的落差

與不確定共存的規劃歷程

前期準備都完成後，顧問會開始依據我們處內實際狀況開始進行資產的盤點及價值評估以及風險評估，並開始建立 ISMS 所需要的各種程序文件以及執行表單。然而在盤點以及建構這些文件的過程中我們首先遇到了一個難題: 在幾個月後，我們就會換辦公室了，搬遷時程不確定，機房位置還沒決定好。因為 ISMS 在資安的關注是非常全面的，不只"虛擬"的網路安全，實體辦公環境以及機房的環境也都是重點，於是在前期，只能先以預估未來辦公室、機房搬遷後的狀況來訂定程序文件，為整個系統導入過程增加了許多的不確定性。不過與此同時，我們剛好也藉著這個機會，將新的機房打造為完全合乎規範的機房，在建立之初就能到標準，確保實體安全無虞。

當實際狀況與規劃不同時

完成程序與表單文件的建構並發行後，接下來組織就要照著所擬定出來的程序來運作，從資訊安全教育訓練、新進人員以及團隊成員的權限控管、各式系統進入以及個人電腦的密碼安全性進行全面性的檢查以及控管，依循程序以及表單來進行申請以及異動等項目。同時為了要確保在意外來臨時，團隊同仁都知道要如何反應對可能影響營運持續的事故進行災害復原演練等一系列的活動等著初次執行。

在初次執行都有相關的紀錄後，就需要進行第一次的內部稽核。在稽核的過程中，就發現許多現況執行與當初程序書設計不符合的地方，也因為高雄的新機房剛搬遷，尚未完全建構完成，或是同仁對於整個 ISMS 系統尚未熟悉的地方。而在內部稽核的發現就一併在管理審查會議來做修正以及決定應對措施，修訂不合現狀的程序文件，並追蹤需要改善的項目，以確保整套 ISMS 系統能夠維持其可用性，持續運作。

ISMS 資訊安全管理系統依循 PDCA 循環管理模式，持續改善

第一次接受外部稽核驗證

前面做了這麼多準備導入 ISMS 系統，都是希望最後可以通過驗證取得 ISO27001的證照。接受外部稽核驗證的日子到了。我們此次申請的範圍包含台北以及高雄的部門研發同仁，以及位在高雄的機房，因此稽核也會分兩地進行，分別在高雄辦公室以及台北辦公室。 在實際開始稽核前，我們會收到此次的稽核計畫以及主導稽核員的聯繫，提供一些有助於他們了解稽核對象背景的相關資料，並且簡單說明稽核計畫。

而也因為我們是初次接受ISO27001 的稽核，會先有一次的文書審查，確認我們的相關程序文件有滿足基礎規範並且執行中。而實地審查時則是依序對高雄以及台北同仁以及現場環境進行審查，會有多個審查委員同時針對 ISO27001 所規範的不同條文以及細項來進行實地的驗證。而這整個階段是在沒有顧問陪同指導下進行的，對於 ISMS 推行委員/資安小組來說，也多少較為緊張。包含第一階段的文書審查，我們總共進行了四天的外部稽核驗證。

取證與持續改善

昕力資訊企業應用產品處取得 ISO27001 資訊安全驗證，符合國際資訊安全準則規範，接軌國際

顧問在輔導的過程中一直和我們講一句話: 「稽核審查委員並不是來找麻煩的，是來幫我們尋找持續改善機會」 因此就算收到不符合通知單，只要知道這是讓我們系統更加完善的持續改進機會就好。從開始接受顧問輔導、初次導入 ISMS 系統並接受驗證到正式取得證書，前後經歷了超過半年的時間，很開心企業應用產品處最後可以順利的取得 ISO27001: 2013 的資訊安全認證。同時資安小組的成員也持續的參與資訊安全相關的教育訓練，並積極取得 ISO27001 主導稽核員的認證。期望不只以受稽核方的角度來看待資安系統，也希望透過對稽核員以及稽核活動的了解能夠更全面的了解整個 ISMS ，持續規劃改進我們的系統並推廣落實相關資安活動。期望透過 ISMS 系統的建立以及持續改善，能夠讓我們的產品研發流程得以在更加安全且可控的環境下發展，提供更優質的產品。