透過數位工具讓資安意識落實在每位同仁日常作業
日本 Cyber Solutions Inc.資安長不再疲於奔命的秘訣「資安驗證與一般驗證的差異在於,即使通過仍要時時繃緊神經因應突發狀況。這幾年資安事件頻傳,攻擊與入侵手法千奇百怪,再加上除了驗證單位的定期查核,不少客戶也要求到場稽核。身為資安長,必須要思考有效的方法,讓資安意識落實在每位同仁日常作業中,方能減少重工,真正降低營運風險。」日本 Cyber Solutions 資安長 小平政教表示。
Cyber Solutions 成立於 2000 年,為日本專業的套裝軟體與雲端服務提供廠商,主要產品為電子郵件、郵件防護、郵件歸檔管理、稽核加密等軟體。經營理念為「持續提供日本企業安全的業務溝通平台」。至今於日本國內已累計超過 2 萬家客戶、註冊使用者超過 400 萬人,產品於東京都 23 區內公部門市佔率更高達 35%。
資安不是口號已是日常
隨著數位化時代的來臨,電子郵件軟體每日必須處理及儲存大量客戶往來溝通資料,內部難免亦包含個資等機敏內容。若軟體工具未能確保這些資料的安全,可能會面臨嚴重後果。Cyber Solutions 於 2007 年即通過國際資安標準 ISO27001,另於 2020 年通過 ISO27018、ISO27017。期望透過良好的資安控管機制,提供日本國內客戶優質且安全的產品與服務。
ISO 組織公告,若過去申請以 ISO27001:2013 版本進行驗證之企業,須在 2025 年 10 月 31 日前完成轉換。2024 年公司必須重新申請多項資案驗證,ISO27001 必須以 2022 發佈之新版進行;當資安小組做此決議後,回想過去驗證準備期如排山倒海而來的龐大作業,不禁頭皮發麻。
自 2007 年通過驗證以來,中間經過不少次改版重新驗證,隨著人員的流動或職務調動,資安長也異動了幾次,每次異動都必須重頭來過。此次新版驗證,除了希望能將經驗留存下來,另一個重要目標是打破過去資安長一肩扛的舊例,由各單位協同分工,讓相關成員有參與感,自然地將資安意識的種子散播至全公司。經過日本 iGSS 公司引薦,認識了叡揚資訊之 Vital CMP 合規協作平台、Vital Knowledge 知識管理系統,期望可解決過去驗證作業遇到的問題與瓶頸,更能於驗證當天,快速且專業的展現成果予外稽人員,受稽同仁不再手忙腳亂。
過去驗證準備時期,並未以數位化工具輔助,佐證散亂地留存於各單位,並以 File Server 共享;文件版本常不確定是否是最新的,搜尋更是不易;稽核當天也常面臨到花許多時間呼叫同事幫忙找佐證,或後補佐證文件的囧境;外稽後即使順利取得驗證,也常後繼無力,資安意識不易落實於日常作業。
在仔細了解產品後,發現在驗證協作上功能完整到讓人十分驚艷,除了分工協作方便明確,讓整個驗證過程都能留下足跡,更便於經驗傳承下次參考、比對改善,減少人事異動困擾。系統十分彈性,不止資安驗證可應用,亦可彈性建立多個驗證作業;不同品質系統驗證(如 ISO27018、ISO27017、ISO9001...)若有相同佐證,只要透過連結方式連結即可,不用重複上傳,是企業數位轉型、無紙化經驗傳承、落實品質控管非常好的基礎建設。
授之以魚不如授之以漁
了解系統功能後,資安長即開始規劃使用方式。由於 ISO27001 條文並不容易理解, ISO27002 為資安控制措施指導方針,指引內容橫跨 ISO27001、ISO27018、ISO27017,決定於系統內建立 ISO27002 條文,讓各負責人及所有參與之協同人員,皆可依各自負責之條文內容,清楚的理解資安相關控制措施、目的,及指引方針,以利種子成員指導部門內其他同仁,進而落實於日常作業。
導入後除了可運用系統條文管理功能,將 ISO 條文建置於系統內;依據條文設定負責人,負責人可邀請協同人員共同執行,分工清楚且明確;資安長亦可於系統內檢視各條準備進度與待辦處理狀況。
經過各單位通力合作,將日常相關產出依各自負責範圍上傳連結為佐證,2024 年 3 月正式驗證稽核當天,因運用系統無紙化且快速專業的展現佐證與成果,獲得日本驗證公司 BSI 之高度正面肯定,順利一次取得 ISO27001:2022、ISO27017:2015、ISO27018 驗證。
資安即日常,通過驗證後至今,各單位仍依資安規範,定期執行相關日常作業,並將作業產出上傳至知識管理系統留存成為定期、不定期稽核之佐證;臨時的外稽來訪,不再手忙腳亂,資安長也已無須每次陪同受稽,資安意識與習慣,已透過數位平台,自然的落實於日常作業。
Cyber Solutions 成立於 2000 年,為日本專業的套裝軟體與雲端服務提供廠商,主要產品為電子郵件、郵件防護、郵件歸檔管理、稽核加密等軟體。經營理念為「持續提供日本企業安全的業務溝通平台」。至今於日本國內已累計超過 2 萬家客戶、註冊使用者超過 400 萬人,產品於東京都 23 區內公部門市佔率更高達 35%。
資安不是口號已是日常
隨著數位化時代的來臨,電子郵件軟體每日必須處理及儲存大量客戶往來溝通資料,內部難免亦包含個資等機敏內容。若軟體工具未能確保這些資料的安全,可能會面臨嚴重後果。Cyber Solutions 於 2007 年即通過國際資安標準 ISO27001,另於 2020 年通過 ISO27018、ISO27017。期望透過良好的資安控管機制,提供日本國內客戶優質且安全的產品與服務。
ISO 組織公告,若過去申請以 ISO27001:2013 版本進行驗證之企業,須在 2025 年 10 月 31 日前完成轉換。2024 年公司必須重新申請多項資案驗證,ISO27001 必須以 2022 發佈之新版進行;當資安小組做此決議後,回想過去驗證準備期如排山倒海而來的龐大作業,不禁頭皮發麻。
自 2007 年通過驗證以來,中間經過不少次改版重新驗證,隨著人員的流動或職務調動,資安長也異動了幾次,每次異動都必須重頭來過。此次新版驗證,除了希望能將經驗留存下來,另一個重要目標是打破過去資安長一肩扛的舊例,由各單位協同分工,讓相關成員有參與感,自然地將資安意識的種子散播至全公司。經過日本 iGSS 公司引薦,認識了叡揚資訊之 Vital CMP 合規協作平台、Vital Knowledge 知識管理系統,期望可解決過去驗證作業遇到的問題與瓶頸,更能於驗證當天,快速且專業的展現成果予外稽人員,受稽同仁不再手忙腳亂。
過去驗證準備時期,並未以數位化工具輔助,佐證散亂地留存於各單位,並以 File Server 共享;文件版本常不確定是否是最新的,搜尋更是不易;稽核當天也常面臨到花許多時間呼叫同事幫忙找佐證,或後補佐證文件的囧境;外稽後即使順利取得驗證,也常後繼無力,資安意識不易落實於日常作業。
在仔細了解產品後,發現在驗證協作上功能完整到讓人十分驚艷,除了分工協作方便明確,讓整個驗證過程都能留下足跡,更便於經驗傳承下次參考、比對改善,減少人事異動困擾。系統十分彈性,不止資安驗證可應用,亦可彈性建立多個驗證作業;不同品質系統驗證(如 ISO27018、ISO27017、ISO9001...)若有相同佐證,只要透過連結方式連結即可,不用重複上傳,是企業數位轉型、無紙化經驗傳承、落實品質控管非常好的基礎建設。
授之以魚不如授之以漁
了解系統功能後,資安長即開始規劃使用方式。由於 ISO27001 條文並不容易理解, ISO27002 為資安控制措施指導方針,指引內容橫跨 ISO27001、ISO27018、ISO27017,決定於系統內建立 ISO27002 條文,讓各負責人及所有參與之協同人員,皆可依各自負責之條文內容,清楚的理解資安相關控制措施、目的,及指引方針,以利種子成員指導部門內其他同仁,進而落實於日常作業。
導入後除了可運用系統條文管理功能,將 ISO 條文建置於系統內;依據條文設定負責人,負責人可邀請協同人員共同執行,分工清楚且明確;資安長亦可於系統內檢視各條準備進度與待辦處理狀況。
經過各單位通力合作,將日常相關產出依各自負責範圍上傳連結為佐證,2024 年 3 月正式驗證稽核當天,因運用系統無紙化且快速專業的展現佐證與成果,獲得日本驗證公司 BSI 之高度正面肯定,順利一次取得 ISO27001:2022、ISO27017:2015、ISO27018 驗證。
資安即日常,通過驗證後至今,各單位仍依資安規範,定期執行相關日常作業,並將作業產出上傳至知識管理系統留存成為定期、不定期稽核之佐證;臨時的外稽來訪,不再手忙腳亂,資安長也已無須每次陪同受稽,資安意識與習慣,已透過數位平台,自然的落實於日常作業。
- 記者:中央社訊息服務20240520 18:22:41
- 更多生活新聞 »
