讓資安落實在日常、由認證開始即運用數位平台協作

撰文｜叡揚資訊 創新協同事業處 姚紹麒 副處長

左為 Cyber Solutions 資安長小平政教；右為叡揚資訊日本總代理 iGSS 社長尚勝巳

日本 Cyber Solutions Inc. 資安長不再疲於奔命的秘訣

「資安驗證與一般驗證的差異在於，即使通過仍要時時繃緊神經因應突發狀況。這幾年資安事件頻傳，攻擊與入侵手法千奇百怪，再加上除了驗證單位的定期查核，不少客戶也要求到場稽核。身為資安長，必須要思考有效的方法，讓資安意識落實在每位同仁日常作業中，方能減少重工，真正降低營運風險。」日本 Cyber Solutions 資安長 小平 政教表示。

       Cyber Solutions 成立於 2000 年，為日本專業的套裝軟體與雲端服務提供廠商，主要產品為電子郵件、郵件防護、郵件歸檔管理、稽核加密等軟體；為台灣網擎資訊之日本總代理。經營理念為「持續提供日本企業安全的業務溝通平台」。至今於日本國內已累計超過 2 萬家客戶、註冊使用者超過 400 萬人，產品於東京都 23 區內公部門市佔率更高達 35%。

資安不是口號，已是日常

      隨著數位化時代的來臨，電子郵件軟體每日必須處理及儲存大量客戶往來溝通資料，內部難免亦包含個資等機敏內容。若軟體工具未能確保這些資料的安全，可能會面臨嚴重後果。Cyber Solutions 於 2007 年即通過國際資安標準 ISO27001，另於 2020 年通過 ISO27018、ISO27017。期望透過良好的資安控管機制，提供日本國內客戶優質且安全的產品與服務。
      ISO 組織公告，若過去申請以 ISO27001：2013 版本進行驗證之企業，須在 2025 年 10 月 31 日前完成轉換。2024 年公司必須重新申請多項資案驗證，ISO27001 必須以 2022 發佈之新版進行；當資安小組做此決議後，回想過去驗證準備期如排山倒海而來的龐大作業，不禁頭皮發麻。
      自 2007 年通過驗證以來，中間經過不少次改版重新驗證，隨著人員的流動或職務調動，資安長也異動了幾次，每次異動都必須重頭來過。此次新版驗證，除了希望能將經驗留存下來，另一個重要目標是打破過去資安長一肩扛的舊例，由各單位協同分工，讓相關成員有參與感，自然地將資安意識的種子散播至全公司。
      經過日本 iGSS 公司引薦，認識了叡揚資訊之 Vital CMP 合規協作平台、Vital Knowledge 知識管理系統，期望可解決過去驗證作業遇到的問題與瓶頸，更能於驗證當天，快速且專業的展現成果予外稽人員，受稽同仁不再手忙腳亂。
      過去驗證準備時期，並未以數位化工具輔助，佐證散亂地留存於各單位，並以 File Server 共享；文件版本常不確定是否是最新的，搜尋更是不易；稽核當天也常面臨到花許多時間呼叫同事幫忙找佐證，或後補佐證文件的囧境；外稽後即使順利取得驗證，也常後繼無力，資安意識不易落實於日常作業。

圖說：導入前 Cyber Solutions 驗證作業各階段面臨到的困境

      在仔細了解產品後，發現在驗證協作上功能完整到讓人十分驚艷，除了分工協作方便明確，讓整個驗證過程都能留下足跡，更便於經驗傳承下次參考、比對改善，減少人事異動困擾。系統十分彈性，不止資安驗證可應用，亦可彈性建立多個驗證作業；不同品質系統驗證（如 ISO27018、ISO27017、ISO9001…）若有相同佐證，只要透過連結方式連結即可，不用重複上傳，是企業數位轉型、無紙化經驗傳承、落實品質控管非常好的基礎建設。

授之以魚不如授之以漁

      了解系統功能後，資安長即開始規劃使用方式。由於 ISO27001 條文並不容易理解， ISO27002 為資安控制措施指導方針，指引內容橫跨 ISO27001、ISO27018、ISO27017，決定於系統內建立 ISO27002 條文，讓各負責人及所有參與之協同人員，皆可依各自負責之條文內容，清楚的理解資安相關控制措施、目的，及指引方針，以利種子成員指導部門內其他同仁，進而落實於日常作業。
      導入後除了可運用系統條文管理功能，將 ISO 條文建置於系統內；依據條文設定負責人，負責人可邀請協同人員共同執行，分工清楚且明確；資安長亦可於系統內檢視各條準備進度與待辦處理狀況。
      經過各單位通力合作，將日常相關產出依各自負責範圍上傳連結為佐證，2024 年 3 月正式驗證稽核當天，因運用系統無紙化且快速專業的展現佐證與成果，獲得日本驗證公司 BSI 之高度正面肯定，順利一次取得 ISO27001:2022、ISO27017:2015、ISO27018 驗證。

圖說：導入系統後，成功解決各階段作業面臨到的問題

      資安即日常，通過驗證後至今，各單位仍依資安規範，定期執行相關日常作業，並將作業產出上傳至知識管理系統留存成為定期、不定期稽核之佐證；臨時的外稽來訪，不再手忙腳亂，資安長也已無須每次陪同受稽，資安意識與習慣，已透過數位平台，自然的落實於日常作業。