開場:ISO 27001 到底是在幹嘛的?
好,今天要來聊聊 ISO 27001...嗯,最近真的很多人在問,尤其是一些跟國外客戶做生意,或者是準備要上市櫃的公司,常常就會被問一句:「欸,你們公司有沒有過 ISO 27001?」感覺好像變成一個... 一個基本的入場券了。
所以這到底是什麼?簡單講,它不是叫你去買一套很貴的防火牆或是防毒軟體,不是那種純技術的東西。它是一套「管理系統」。 對,你沒聽錯,是管理系統,全名是「資訊安全管理系統」(Information Security Management System),簡稱 ISMS。 它是一套國際標準,教你怎麼樣用一個有系統、有邏輯的方法,去保護公司的資訊資產。
你想想看,公司的資產不只有桌子、椅子、電腦這些看得到的東西。那些客戶名單、研發的程式碼、財務報表,甚至是員工的個人資料...這些看不見的「資訊」,才是現在很多公司最值錢的東西。 ISO 27001 就是一套方法論,它教你怎麼去盤點這些重要的資訊資產,然後評估它們可能會遇到什麼風險,像是被駭客偷啊、員工不小心刪掉啊、或是電腦壞掉拿不出來之類的,接著再針對這些風險,去做對應的保護措施。 所以,它更像是一套品質管理系統,只是它管理的不是產品良率,而是「資訊的安全性」。
所以,為什麼現在大家都在談這個?
這個問題很好,啊就... 因為越來越重要了嘛。以前可能覺得資安是 IT 部門的事,但現在完全不是了。你想想看,現在的生意模式,很多都是串在一起的,就是所謂的供應鏈。你可能是蘋果的供應商,或是幫某個大廠做軟體開發,那你的客戶,就會非常非常關心你的資安做得好不好。因為萬一你這邊出包,資料外洩了,他們也會跟著受害。所以很多國際大廠會直接要求供應鏈夥伴必須通過 ISO 27001 認證,這變成一個...嗯...合作的基本門檻。
再來就是法規的要求。這點在台灣跟國外就有些不一樣的重點。在國際上,大家可能比較常聽到歐盟的 GDPR,那個罰金很可怕。而在台灣,我們自己也有《資通安全管理法》,雖然目前主要規範的是政府機關、公營事業和一些關鍵基礎設施提供者,像是電力、水力、醫院等等。 不過,這個趨勢很明顯,就是政府對於企業的資安要求會越來越高。特別是數位發展部成立之後,相關的討論跟修法草案也一直在進行。 所以,就算你的公司現在還沒被法規直接管到,但提早準備總是好的。
還有一個比較軟性、但我覺得更重要的,是「信任」。拿到 ISO 27001 認證,就像是你對客戶、對合作夥伴、對投資人說:「你看,我的資安不是我自己說了算,是經過國際認可的第三方機構來驗證過的。」這在商場上,就是一個建立信任的強力證明。 尤其對金融業、電商這種掌握大量個資的行業來說,這幾乎是必備的。
好,那... 具體要怎麼開始?導入的步驟大概是怎樣?
嗯... 這部分其實蠻多細節的,但我試著講得白話一點。整個導入過程,最核心的精神就是一個叫做「PDCA」的循環。 什麼是 PDCA?就是 Plan-Do-Check-Act。
- Plan (規劃):這是一切的開始。你要先決定... 呃,不是要保護全公司所有的東西,那會搞死人。要先定義一個「範圍」,比如說,我們這次先針對「存放客戶資料的系統」跟「相關的業務部門」來做導入。 範圍訂好之後,就要成立一個專案小組,然後開始做「風險評鑑」,找出這個範圍內可能會有哪些資安風險。
- Do (執行):規劃好之後,就要來真的了。針對前面評估出來的風險,去制定對應的控制措施。ISO 27001 標準的後面有個附錄A (Annex A),裡面就列了超級多可以參考的控制措施,像是密碼原則、門禁管理、資料備份、員工資安教育訓練等等...林林總總加起來有幾十項。 你就根據你的風險評估結果,去挑選適合的來實施。
- Check (檢查):做了之後,不能就放著不管。你要定期去檢查,看這些措施是不是真的有效,大家有沒有照著規定做。這個階段最重要的活動就是「內部稽核」。 找自己公司的人,或是另外請人,來模擬正式稽核員,檢查看看有沒有哪裡不符合規定。
- Act (行動):檢查完發現問題,就要改進。這就是行動。可能是不符合的項目要修正,也可能是發現原本的規定太不人性化、執行不下去,那就要調整規定。總之,這是一個... 持續改善的過程。
這個 PDCA 循環跑過一遍,覺得差不多準備好了,就可以找外部的驗證機構,像是 BSI、TÜV 這種,來進行正式的稽核。 他們會分兩個階段來查,第一階段主要是看你的文件齊不齊全,第二階段就是實地到你公司來看,抽查各種紀錄、訪談員工。如果都沒問題,恭喜你,就能拿到證書了。
導入的「真實世界」挑戰:錢、時間和人
前面講的好像很理論,但實際做起來... 呵,挑戰可多了。老實說,這絕對不是一件輕鬆的事。我把它整理成一個表格,這樣比較清楚。
| 挑戰 | 具體來說是什麼 | 應對小建議 |
|---|---|---|
| 預算 (Budget) | 這個嘛...費用真的不便宜。主要有三大塊:顧問費、驗證費,還有你為了符合標準可能需要添購或升級的軟硬體費用。全部加起來,幾十萬到上百萬都有可能,看公司規模跟複雜度。 | 顧問一定要找!但不要只看報價。多跟幾家聊聊,看他們的顧問懂不懂你的產業,這很重要。錢要花在刀口上,有些顧問會給你一套「樣板文件」,那種就要小心。 |
| 時間 (Time) | 絕對不是三個月就能搞定的事。從專案啟動、建立制度、試運行、內部稽核,到最後拿到證書,順利的話... 我會說抓個八個月到一年比較保險。 | 要有一個很給力的專案經理。這個人不是掛名就好,是真的要跳下來盯進度、開會、跨部門「喬事情」的人。沒有這個角色,專案很容易就... 你知道的,沒下文了。 |
| 跨部門溝通 | 這大概是最難的。資安絕對不是 IT 部門自己的事。 人資要管員工報到離職的權限、總務要管機房門禁、法務要看合約、採購要管供應商... 幾乎所有部門都會被牽扯進來。光是開會,人就很難湊齊。 | 專案一開始的「啟動會議」超級重要。一定要請到公司最大的老闆,像是總經理或執行長,親自出來宣示決心。 有大老闆背書,後面推動的阻力會小很多。 |
| 員工的抗拒 | 「為什麼密碼要這麼複雜還得一直換?」、「離開座位電腦就要鎖定,好麻煩!」... 這些抱怨是一定會有的。人都不喜歡改變,尤其當改變帶來不方便的時候。 | 教育訓練要做,但不要只是死板板地宣導規章。多講一些實際的案例、講故事。讓大家知道,如果公司資料外洩,對公司、甚至對他們自己的年終獎金,會有什麼影響。把「資安」跟「切身利益」綁在一起,效果會好很多。 |
拿到證書然後呢?這才是挑戰的開始
很多人以為拿到那張紙,就功德圓滿了。錯!那其實只是開始。ISO 27001 的證書有效期限是三年,而且在這三年內,驗證機構每年都會來做一次「監督式稽核」,俗稱維護稽核。 他們會來看看你這一年有沒有乖乖照著制度走,PDCA 的循環有沒有持續在做。到了第三年,就要再做一次更全面的「重新驗證稽核」。
所以,最怕的情況是什麼?就是為了拿證書,做了一大堆精美的報告跟文件,結果稽核一結束,那些文件就全部被鎖進櫃子裡長灰塵。這樣搞,下一次稽核員來,保證馬上被抓包,證書可能還會被撤銷,那就真的白忙一場了。
說真的,導入 ISO 27001 的精髓,不在於拿到那張證書,而是把「資訊安全」的 DNA,植入到公司的文化裡面。讓它變成像呼吸一樣自然,變成每個員工日常工作的一部分。這很難,但這才是真正有價值的地方。
常見問題:一些大家常搞混的點
- 有了 ISO 27001 是不是就保證絕對不會被駭?
這大概是最大的誤解。答案是:不是。ISO 27001 是一套風險管理框架,它的目標是幫助你「管理」和「降低」風險,而不是把風險變成零。 這世界上沒有絕對的資安。但是,有做這套系統,至少能確保你已經做了該做的準備,萬一真的出事了,你也能有一套應變計畫,把損害降到最低。 - 我們是小公司,也需要做嗎?
這要看情況。如果你是 B2B 的生意,而你的大客戶要求你做,那... 你可能就沒得選。如果你是處理非常敏感的資料,那我也會建議做。但如果你只是一般的公司,沒有客戶或法規壓力,那不一定要馬上就花大錢去拿「證書」。你可以先參考 ISO 27001 的精神和裡面的控制措施,一步一步強化自己內部的資安體質。這點跟美國的 NIST CSF 框架有點像,NIST CSF 更像是一個彈性的指引,不強制要求認證,適合想開始改善資安但還沒準備好投入完整認證的組織。 - 導入一定要請顧問嗎?
嗯... 理論上,你可以自己讀懂標準,然後自己導入。但老實說,我會強烈建議要請顧問。 為什麼?因為顧問的價值不只是給你文件範本,他們最大的價值是「經驗」。他們看過幾十家、上百家公司導入的過程,知道哪裡會有坑、知道稽核員會看什麼、知道怎麼跟各部門溝通。自己摸索可能會走很多冤枉路,花的時間成本,可能比顧問費還高。
總結來說,我自己是覺得,不要把 ISO 27001 當成一個專案,做完就結束。應該把它當成一個持續的旅程,一個讓公司體質越來越健康、越來越有抵抗力的過程。它很花錢也很花力氣,但如果做得好,帶來的價值絕對遠遠超過那張證書的成本。
聊了這麼多,換你分享看看吧!如果你的公司要導入資安管理,你覺得最大的挑戰會是「爭取預算」、「搞定跨部門溝通」,還是「改變員工習慣」呢?在下面留言分享你的看法吧!
