跳到主要內容區塊
1月號 2018 Jan
資訊補給站-ISMS獲國際認證 台糖資安防護強

台糖資安防護強 獲ISMS國際認證

文/資訊處 吳建章

行政院國家資通安全會報於民國94年5月訂定「政府機關(構)資訊安全責任等級分級作業施行計畫」,該計畫依業務資料的機敏性將資訊安全責任等級分為四級,並明訂應執行之工作事項,以防止政府機關(構)每年層出不窮的資安事件,造成服務中斷、全球資訊網遭竄改等問題。

本公司屬資安責任等級B級,依該計畫應於97年底前通過驗證,符合資通安全國際標準;爰從技術面及管理面進行規劃,遂提前於96年3月開始建置本公司資訊安全管理系統(ISMS),完成管理系統之PDCA循環(規劃Plan、執行Do、檢核Check、改善Act),並於11月初由第三方公正機構進行外部稽核,稽核結果符合資ISO27001規範要求並取得國際及國家證書。


ISMS符合國際標準要求

資訊處導入ISO 27001業已10年,投入相當多之人力及時間,制定各項作業管理文件並落實執行、定期內稽、檢討改善,以及建置資安防護措施、進行監控與事件處理。通過每年續審及每3年重審換證,展現之具體成果及效益如下:

一、有效降低資安風險,提高系統可用性,確保業務持續營運

在管理方面首先進行風險評鑑,訂定符合ISO 27001標準及上級機關頒布之相關法規要求之各項作業管理文件,作為公司同仁依循之準則,並落實執行與持續改善;在技術方面遵循控制措施之規定,建置資安防護設備,ArcSight Express(安全資訊暨事件管理)、Fortify-SCA(原始碼檢測分析),及早發現可能的入侵行為、病毒事件或系統潛在弱點等,以掌握系統整體狀況,以為因應處理。整體而言,有效降低資安事件發生的機率及影響程度,提高系統可用性,以確保公司業務持續營運。

二、證明公司資訊服務及資訊系統之資訊安全符合國際標準要求

3年重審換證審查由TUVNORD擔任第三方驗證機構,就系統之開發、運作、管理及維護等相關活動範圍及場所,進行ISO27001標準的符合性稽核,稽核結果未發現主、次要缺失。經由外部公正第三方驗證機之專業稽核,驗證公司資訊服務及資訊系統相關控制措施之符合性,即證明資訊服務及系統之維運達到一定的資安水準,符合國際資訊安全標準之要求。


持續落實ISMS

整合資訊安全導入ISO 27001歷經多年之努力,業已步入穩定運作階段,未來應持續努力及改善的方向如下:

一、在管理面落實執行ISMS管控措施與持續改進

配合ISO 27001認證稽核之需要,以及依循管理循環PDCA的精神,持續落實執行ISMS管理作業、辦理內部稽核與改善、風險評鑑與風險處理、預防矯正措施、業務持續營運演練、管理審查會議、資安宣導及外部稽核等作業,並持續精進ISMS管理文件,以改善各項管控措施,強化整體資訊安全管控機制。

二、在技術面持續加強資訊機房運作機能及資安防護

藉由資安防護設備之監控機制、資安弱點管理等作為,及早發現可能的入侵行為、病毒事件或系統潛在弱點,以掌握系統整體狀況,預為因應、處理及改善各種突發狀況,維護機房及系統運作順利,另配合法規要求及防護需要,適時引進設備,以加強資安防護能力。

 

編輯室報告
封面故事—台糖論壇 昂首闊步
專欄
專題報導
糖情outlook
業務特寫
資訊補給站
繽紛生活
  • 買東西
  • 找據點
  • 會員區
  • 住台糖
  • 更多社群分享