剖析資通安全管理法 綜觀資安管理國際標準新趨勢 SGS資訊治理年會首屆表揚資安管理與個資管理卓越企業
SGS台灣檢驗科技股份有限公司於日前 (8/1) 盛大舉辦第二屆「資訊治理年會」,不僅邀請業界專家與SGS資訊團隊為與會嘉賓帶來精采豐富的分享,更獎勵卓越企業頒發「資安管理卓越獎」與「個資管理卓越獎」,表彰企業之卓越成就。
首屆獲得SGS資訊卓越獎之企業經過SGS專家團隊之文件審查與實地查訪,共四名企業獲獎。「資安管理卓越獎」為:台灣大哥大股份有限公司與台灣松下電腦股份有限公司;「個資管理卓越獎」為:安麗日用品股份有限公司與富邦產物保險股份有限公司。
台灣大哥大從多面向導入資安與隱私個資保護管理系統,不僅為台灣唯一同時取得ECSA四星級與CSA金牌雲端安全雙認證之業者,資安驗證範圍更包含北、中、南區辦公大樓、電信機房及全台直營門市。其乃首先將個資保護之完整流程納入資安驗證,範圍廣度乃業界之最,更榮登 2018道瓊永續指數 (DJSI)最高等級「世界指數」排行榜,勇奪世界指數全球電信業第一名,堪稱業界之模範企業。
台灣松下電腦領先同業將 ISO 27001資訊安全管理系統概念納入工業用或特殊用途之筆記型電腦製造相關流程逾10年,乃製造產業之先驅,其更透過與日本母公司之持續交流,精進資安管理體質。以最高水準的品質力、原價力、對應力為宗旨,提升其組織對於資訊安全要求及增強客戶信心。
安麗自2012年起即導入個人資料保護管理系統,驗證範圍涵蓋全公司。其經由完善系統、管理制度與整體服務流程,達到全體同仁、直銷商與委外廠商皆自主式以提升服務品質及個資保護為責任。其客服中心及全台體驗中心更榮獲 SGS Qualicert國際服務驗證;在整體服務表現上,榮獲遠見雜誌「五星服務獎」直銷業第1名。
富邦產險於2014年成為第一家通過 BS 10012:2009 及 PCA雙驗證之金融業者,個資驗證範圍領先其他產險同業,涵蓋總公司及分公司。並跟進GDPR實施,進行適用性評估,擴大PCA 查核為每年執行,強化 PIMS相關維運作業。
除了表彰資訊領域卓越企業,年會亦邀請到行政院 國家資通安全會報 技術服務中心 吳啟文主任帶來「資通安全管理法推動現況分析及因應對策建議」主題分享,協助企業了解今年正式上路之資通安全管理法,企業應如何因應以遵循法規之要求與具體落實。吳主任表示,受規範之企業,除了落實資安宣導與提升資安人員質量之外,更應檢視資安預算是否充足,資通安全維護計畫是否完備,以及精進資安事件通報應變能力與速度。
對於國際標準趨勢與新發展,亦由SGS 驗證及企業優化事業群資訊治理部 部門經理何星翰帶來「隱私保護管理與資訊安全管理整合」主題、產品經理劉士弘帶來「資安管理國際標準新面向 - 從IT到OT」主題分享。SGS何經理表示,ISO國際標準組織最新發布之「ISO 27701隱私資訊管理系統」,不僅帶來新增的特定隱私要求,以有效整合現行之ISO 27001資訊安全管理系統,未來更是針對隱私保護之特定領域 (PIMS-Specific),以ISO 27001延伸驗證的⽅式實施,資安管理將與個資管理更加密切整合。而從IT (Information Technology) 延伸OT (Operation Technology) 的管理機制與國際標準趨勢上,SGS劉經理提到,無論政府機關、金融業或者是高科技製造業,現行都有與資訊科技之資安防護相關的管理機制,但去年(2018)知名高科技製造廠機台受到惡意程式蔓延造成產線停擺事件,促使各方開始將資安的防護與管理議題從傳統「資訊科技 (IT)」延伸至「營運科技 (OT)」,因此除了大家熟知的ISO 27001資訊安全管理系統外,國際標準IEC 62443將成為討論工業自動化、工控系統、物聯網 (IoT)、智慧製造、AI、雲端應用的資安議題時不能忽視之參照標的。
除了現行業界最關注的法規資訊與國際標準趨勢之外,年會亦邀請到是方電訊股份有限公司 技術處 周衍副總經理帶來「數據中心維運驗證 (DCOS) 之經驗分享」,分享為何企業需要導入DCOS,以及DCOS之重要性與趨勢。周副總提到,執行DCOS驗證,不僅可透過系統化的管理追蹤,找出機房維運的脆弱點,亦可協助提升營運與作業效率,並從內外不同視角查核作業與目標的契合度,讓操作管理與服務協議密切綑綁,滿足需求與確保安全之總目標。
其後則由網擎資訊軟體股份有限公司行銷處 李孟秋副總經理分享「Privacy by Design 隱私始於設計之新趨勢」,Privacy by design在設計階段即納入隱私設計之重要性及效益,以及為何選擇Privacy by Design與導入ISO 27550之驗證。李副總表示,ISO 27550驗證可有效協助企業完善內部管理制度、全面性提升隱私保護的認知及風氣,更重要的是可提早在產品設計開發流程即明確套用隱私工程的管理控制,以滿足企業來自於客戶端對隱私保護與資料機密性之要求。
SGS 驗證及企業優化事業群 台灣暨東北亞區 黃世忠資深副總裁亦表示:『在資訊快速發展並伴隨著愈來愈多的資安威脅之下,可預見全球企業對ISO 27001資訊管理系統與 BS 10012個人資料保護管理系統之需求顯著成長。因此包含美國、德國、歐盟、日本等先進國家,皆各自訂定了相關的資安專法,台灣也於今年正式上路資通安全管理法,加上國際即將發佈的ISO 27701隱私資訊管理系統等,都代表著全球對資訊安全與個資保護的重視。』SGS資訊服務團隊亦在全球投入資源,不僅可為國內企業提供各項資訊驗證、雲端驗證與一驗雙證 (TAF、UKAS) 的服務,更可提供企業轉型與營運優化之相關訓練。
