So-net取得ISO27001認證
【文/倪慈緯】2010/2/1 下午 06:59:15
台灣碩網資訊技術處資訊安全部主任賴居正指出,ISO27001認證的導入時間約為7~8個月,全部由IT部門自己主導,沒有透過外面的顧問公司來輔導,主要就是因為過去已經建立好一套PIM當作基礎,除了資訊安全部2位全職人員負責溝通協調外,涉及程式、政策、網路系統、系統管理等等工作,都是IT部門全員出動來完成。
台灣碩網(So-net)取得ISO27001認證,以做為個資爭議的舉證效益,並為IDC主機代管、金流服務、虛擬主機與遊戲點數等新開發的企業服務業務加值與加分。
台灣碩網資訊技術處協理楊凱雄表示,日本母公司早就取得ISO27001的認證,之前台灣碩網在個人資料保護管理政策(PIM,Personal Information Management)上,是依照Sony集團依OECD隱私權指導方針所訂定之個資保護政策,所以已經做到保護客戶資料的部份,而他們也在前(08)年第三季開始規劃導入ISO27001認證,之後因為去年取得中華電信資金挹注,並於10月將機房從內湖搬到中華電信愛國機房,因為考量要認證新機房,所以在導入時程上有些擔擱,。
台灣碩網資訊技術處資訊安全部主任賴居正指出,ISO27001認證的導入時間約為7~8個月,全部由IT部門自己主導,沒有透過外面的顧問公司來輔導,主要就是因為過去已經建立好一套PIM當作基礎,除了資訊安全部2位全職人員負責溝通協調外,涉及程式、政策、網路系統、系統管理等等工作,都是IT部門全員出動來完成。楊凱雄表示,對碩網來說,ISO27001認證並沒有讓他們意外的東西,只要透過內部討論及改進就可以做到,而IT部門共42個人都有參與ISO27001的導入工作。
「ISO27001認證具有象徵性意義,並且是個具體的目標,而過去在資安政策上,則偏向個案在處理。」楊凱雄說。
賴居正指出,線上金流與個資防護是這次ISO27001認證的兩大主軸,目前台灣碩網有十幾萬個連線客戶,並且去年在企業服務業務上有大規模的成長,主要的認證的目標在於IT人員及資訊設備。
資訊技術處網路暨技術維運部經理陳達及資訊技術處系統開發部資深經理蔡博生皆表示,取得ISO27001認證的過程中,只要是加強文件的集中與標準化管理,並且透過驗證來重新檢核過去的流程,在流程上只是微調。賴居正舉例,他們有測過Fortify的白箱工具,但相關產品並不適合碩網,所以後來選擇黑箱測試來做網路應用程式防火牆(WAF)。
BSI英國標準協會副總經理蒲樹盛表示,ISO27001與個資法是相輔相成,ISO27001具有廣度,對於資安政策的規範不只在個人資料保護管理上,還包含企業營業機密等規範,所以是基本的認證,在個資上,BSI在去年6月頒布的BS100012標準就是相關的認證,由於台灣在去年9月才引進台灣,目前還沒有企業導入,不過已經有人表示興趣。
更多新聞
.【資訊安全】 疫情引爆資安 趨勢科技籲警覺.【資訊安全】 遠端辦公成為資安高風險群.【資訊安全】 BEC詐騙 台灣受害北亞區居冠.【資訊安全】 思科助攻 打造遠距體驗.【資訊安全】 微軟攜手法務部 遏止殭屍網路.【資訊安全】 防疫當頭 Check Point提供安全技巧.【資訊安全】 F5亞太報告 關切網路安全.【資訊安全】 微軟五資安要點 助企業提前部署.【資訊安全】 區塊科技 推BEC方案.【資訊安全】 AEGIS CUSTODY攜手中國信託 推帳款資