國
立 政 治 大 學
‧
N a tio na
l C h engchi U ni ve rs it y
104
4.11. 接受外部稽核
為驗證本實作 ISMS 與 PIMS 整合後實施有效性,透過第三方國際 ISO 驗證機構來 驗證是否符合國際標準 ISO27001 條文要求及本國個資法要求;本專案邀請英國國際品 質驗證有限公司(NQA)臺灣分公司蒞部實施文件驗證及實地稽核,並依檢核結果,辦 理缺失改正及文件修正,也在 2014 年 10 月 17 日通過驗證,由英國國際品質保證協會
(NQA)臺灣分公司授予本部「ISO 27001:2013 暨個人資料保護管理流程認證」國際證 書(如圖 4-8)。證明本單位 ISMS 與 PIMS 在執行與維持(Plan-Do-Check-Act)管理系統 均能符合相關標準與法規,也證明可運用最具國際公信力 ISO 標準來驗證 ISMS 與 PIMS 整合後作法。
‧ 國
立 政 治 大 學
‧
N a tio na
l C h engchi U ni ve rs it y
105
圖 4-8:通過驗證國際 ISO 證書
‧ 國
立 政 治 大 學
‧
N a tio na
l C h engchi U ni ve rs it y
106
結論與貢獻 5.
在本研究第二章可以很清楚了解,ISMS 與 PIMS 本質上是很相近的,以資料的生 命週期,資訊安全的機密性、完整性、可用性進行探討,運用現有的 ISMS 的既定作法,
來進行整合 PIMS;在第三章很明確指出整合後具體作法,不管在作業流程面、四階文 件產製、風險評鑑作業等面向,透過這些具體作法,讓需要導入 ISMS 與 PIMS 組織或 單位可以更有效;在第四章藉由第三章所具體作法,運在本單位實施,發現在整個 ISMS 與 PIMS 導入,不再是分兩次導入、造成人力負荷、部分成本重複投資等現象,而是更 有效且更有邏輯性的面對各種資安與個資問題,以作業流程面來分析資安與個資,讓每 個控制點更加明確,也透過文件製作與 SOP 訂定,讓人員大幅降低因操作錯誤,造成 資訊與資安風險,最後實作運用 ISO 27001 標準包含個資管理流程來驗證本實作,也證 明本研究 ISMS 與 PIMS 整合後,在實施(Plan-Do-Check-Act)管理系統確實有效,均 能符合相關標準與法規。
在本單位尚未導入 ISMS 與 PIMS 前,面對各種資安與個資法通過必須因應措施,
毫無有效方法,面對外來未知的威脅,充滿許多徬徨,僅能就已知的防護方法,運用許 多資訊技術手段,卻無法切確且有效達到安全目標;然而,透過 ISMS 與 PIMS 整合導 入,完成主要成效:(1)分析、簡化、修訂 39 項作業流程,及編製各類 SOP,供作業人 員遵循,減少人員作業疏失風險,並完成點、線、面整體考量與資安縱深防禦佈局。(2) 完成 649 項資訊資產及個人資料風險評鑑作業及風險處理計畫,以降低單位內潛在之資 訊威脅,進而保障本單位資訊資產及個人資料之機密性、完整性及可用性。(3)完成 35 份符合 ISO 27001:2013 標準及個資法之作業程序,強化資安暨個資保護管理作業規範,
建立符合國際規範之資安暨個資保護管理制度,提升本部網站資安防護水準,以符合行 政院資安及個資法之各項要求;最後,(4)通過「ISO 27001:2013 暨個人資料保護管理 流程認證」,並獲英國國際品質保證協會(NQA)臺灣分公司授予本部「ISO 27001:2013
‧ 國
立 政 治 大 學
‧
N a tio na
l C h engchi U ni ve rs it y
107
暨個人資料保護管理流程認證」國際證書(新聞報導如圖 5-1)。自從導入後,單位資訊同 仁對資訊安全與個資保護有更明確了解,除利用資訊技術防範外,在管理作法上更加精進,
也透過認知教育訓練,提昇單位資訊同仁與管理階層資安與個資的觀念,認同其重要性,
並樂於執行相關程序作業,透過 ISMS 及 PIMS 整合導入工作,主動挖掘潛在風險因子並事 先防範,確保系統上個人資料獲得保護,同時保護個人資料不外洩,確保民眾權益,並達 本部重要對外國防政策推廣窗口「國防部全球資訊網」永續營運之目標。本研究可供有心 導入 ISMS 與 PIMS 的資訊人員參考,或對這方面有興趣的 IT 人員研究。
圖 5-1:網站個資保護獲國際標準 ISO 認證
‧
[1] 避免多頭馬車管理 PIMS與ISMS踏上整合之路,Information Security 資安人科技網,
網址:http://www.informationsecurity.com.tw/article/article_detail.aspx?aid=5910。
[2] 從管理與組織角度一探個資法因應之道,Information Security 資安人科技網,網址:
http://www.informationsecurity.com.tw/article/article_detail.aspx?aid=7221#ixzz3UQvF ndy3。
[3] 黃小玲(2010),清流月刊中華民國九十九年十一月號,網址:
http://www.mjib.gov.tw/cgi-bin/mojnbi?/d2/9911/4-1.htm。
[4] 鄭東昇(2005),「資訊安全管理系統與企業網路安全實作探討」,交 通 大 學,碩士 論文。
[5] 鄭伊雯(2012),「植基於 ISO 27001 建立符合 BS 10012 之 個人資訊管理自我評鑑 模式」中原大學,碩士論文。
[6] 經濟部商業司TPIPAS臺灣個人資料保護與管理制度規範,網址:
http://www.tpipas.org.tw/model.aspx?no=159 。
[7] 樊國禎博士(2014),「ISMS新版實作初探:擴增MSS的ISMS初論之一」,台灣網路 防護協會,經濟部標準局103年第1季資訊安全管理系統標準化系列討論會。
[8] ISO (2001) Guidelines for the justification and development of management system standards,ISO Guide 72:2001(E).
[9] ANSI et al. (2007) Justification study for a new work item proposal for a energy management standard ad guidance document.
[10] ISO/TMB (2009) Request for feedback and comment on proposed identical sub-classes titles for management system standards, 2009-04-10.
[11] ISO/TMB (2009) Request for feedback and comment on proposed common terms and core definitions for management system standards, 2009-04-20.
[12] ISO/IEC JTC 1/SC 27 (2010) Text for ISO/IEC 4th WD 27001 – information technology – Security techniques – Information security management systems – Requirements, 2010-11-15.
[13] ISO/IEC JTC 1/SC 27 (2010) Whitepaper future of ISO/IEC 27001 and management system standards (MSS), ISO/IEC JTC 1/SC 27 N8662, 2010-07-15.
[14] ISO (2009) Risk management –principles and guidelines, ISO 31000:2009(E).
[15] ISO (2010) Information and documentation – Management system for records – Fundamentals and vocabulary, ISO DIS 30300:2010-05-21, Figure 3, p. 7.
[16] 徐弘昌(2009),「以ISO 27001為基礎評估電信業資訊安全管理- 以第一類電信業者
‧ 國
立 政 治 大 學
‧
N a tio na
l C h engchi U ni ve rs it y
109
為例」,交通大學,碩士論文
[17] 張文瀞(2014) ,「 ISO27001:2013和ISO27001:2005的主要差異」,臺灣大學計算機 及資訊網路中心程式設計組副理張文瀞2014.09.20發行ISSN 2077-8813,網址:
http://www.cc.ntu.edu.tw/chinese/epaper/0030/20140920_3003.html
[18] 李慧蘭(2006),「國際資訊安全標準ISO 27001之網路架構設計–以國網中心為例探討 風險管理」,國家實驗研究院國家高速網路與計算中心,期刊
[19] 張芳珍(2004) ,「以BS7799 落實資訊安全管理-管理類資訊資產分類與控管」,碩士 論文
[20] 劉永禮(2001) ,「以BS7799 資訊安全管理規範建構組織資訊安全風險管理模式之 研究」,碩士論文。
[21] 黃小玲(2011),「個資法與國際隱私管理標準、規範之分析與應用」,資訊安全通訊,
3(7),21-36
[22] 最佳化企管顧問有限公司何銘燁講師資訊安全/個資法風險管理(ISO27005) 實務訓 練課程
[23] 行政院國家資通安全會報技術服務中心 100 年資訊系統風險評鑑參考指引實務導入 報告,網址:https://www.icst.org.tw/CommonSpecification.aspx?lang=zh。