還在煩惱資訊安全管理要從哪裡下手嗎?面對資通安全管理法或 ISO 27001 等資安標準,許多人得到長官的指派/指示後,一開始都會感到無從下手,甚至不知道這是甚麼。但其實不用怕!只要抓住幾個重點,就能順利展開第一步。以下提供三個簡單步驟,帶你輕鬆啟動公司的資訊安全,提高整體資安防護力與員工資安素養。
找出主管機關/適用範圍
搞清楚規定是誰定的、管到誰。也就是確認這項資安法規或標準由哪個單位主管,以及我們公司是否在適用範圍內。
- 資通安全管理法
舉例來說,在台灣推行的《資通安全管理法》由數位發展部主管,規範對象如下:
- 公務機關:中央、地方機關(構)或公法人,但不包括軍事機關及情報機關。
- 特定非公務機關:關鍵基礎設施提供者、公營事業、特定財團法人或受政府控制之事業、團體或機構。
一般民間企業若未被明文列為規範對象,雖不具法定強制性,仍可依實際風險與治理需求,自主比照資安法精神與國際標準進行導入,以提升資安治理成熟度與對外信任。
- ISO 27001:2022 (ISMS)
若組織以取得 ISO/IEC 27001認證為目標,須明確界定資訊安全管理系統(ISMS)的導入範圍,包括但不限於:
- 業務範疇:涉及哪些產品、服務、營運等核心業務
- 組織邊界:涵蓋哪些部門、團隊、供應商等。
- 資訊資產與系統:納入哪些重要資訊、應用系統、伺服器或資料庫等資產。
考量首次導入 ISMS 時,雖涵蓋全公司能帶來的效益最大,但也可能導致:
- 導入成本過高
- 管理與稽核複雜度增加
- 人力與資源負荷過重
因此,實務上多採風險導向原則,優先將核心業務與高風險來源納入 ISMS 管理範圍,例如:
- 客戶或個人資料處理系統
- 營運關鍵資訊系統
- 對公司營運影響重大的資訊資產
需注意,若被主管機關要求符合資安法,核心資通系統有要求在限定時間內完成導入 CNS 27001 或 ISO 27001 等資訊安全管理系統標準、其他具有同等或以上效果之系統或標準,或其他公務機關自行發展並經主管機關認可之標準,於三年內完成公正第三方驗證,並持續維持其驗證有效性。
確認義務與最低要求
不論是法律還是國際標準,都會規定一些基本義務和最低資安措施。我們需要細讀相關條文或標準條款,搞清楚有哪些必做事項,然後逐項檢視自家現況是否符合。
以下是常見且必要的基本作業項目,可提供各位作為關鍵字與實務推動參考:
- 建立資安政策
- 建立資通安全組織
- 實施資產界定與盤點
- 實施風險評鑑與控管
- 建立事件通報機制
- 實施教育訓練
- 實施存取控制
- 定期執行營運持續演練
- 落實資訊安全檢測
- 定期執行內/外部資安稽核
如果事前把這些「最低標準」摸透,就能優先處理最重要的事項,確保不會漏掉法規硬性規定,也為後續進階的資安措施打好基礎。
建立專案小組
團隊合作來破關!資訊安全不是一個人的戰役,無論跨部門的專案團隊,或是成立資安部門都非常重要。
若是在導入初期,建議從各部門挑選對資安有興趣或相關職能的代表,組成資安推動小組,並推選一位專案經理來統籌計畫執行。有了專案小組後,可以召開資安啟動會議,向全體同仁宣示公司導入資安管理的決心與目標,同時確認需要投入的資源(人力、預算、工具等)。透過明確的分工與合作,大家各司其職,才能把資安的各項措施落實到位。團隊齊心,才能事半功倍地提升公司整體的資訊安全水準。
萬丈高樓平地起,資安治理也是從基礎一步步累積。從搞清楚適用的規範、了解基本義務,到組建專案團隊,這三步就像是啟動資安管理的地基。有了穩固的第一步,後續不論是進行風險評估、制定政策還是推行員工訓練,都會更有方向感。現在就行動起來吧,別讓資安只是口號,讓我們一起把它落實在日常工作中!
如果您在導入過程中需要專業協助,我們公司也提供完整的資安顧問服務與資安治理與落實平台SAR(Security Accreditation & Regulation)。SAR被打造的目的就是協助各位更好的進行資安治理,無論是初次導入或是長期維護,SAR都會以任務導向為所有的待辦項目設計獨立的任務卡。讓所有人員能更輕鬆的從制度規劃、風險評估到落地執行,一路陪伴企業從建立規範到符合法規/政策、最後到可持續運作的資安治理體系。
【參考資料】
- 資通安全管理法,https://moda.gov.tw/ACS/laws/regulations/624
- ISO/IEC 27001:2022,https://www.iso.org/standard/27001
- Security Accreditation and Regulation,https://www.aaasec.com.tw/sar.html
By Jared