|
資訊中心通過國際ISO27001資安認證紀實 資訊中心網路組 隨著電腦運用的普及與網際網路的蓬勃發展,各種資訊系統衍然而生,電腦網路成為多數人每日必須使用的工具,但也同時帶來相關的資訊安全問題。因此,確保資訊之機密性、完整性與可用性,便成為重要的課題。ISO27001 為建立資訊安全管理系統 ( ISMS;Information Security Management System )國際性標準,為國際知名的安全規範,該標準涵蓋所有與安全相關的議題,是一套相當複雜且完整的資訊安全應用與稽核的標準。為進一步提升校園的資安品質與保障,資訊中心於 97 年 7 月開始進行資安認證整備業務,且於 98 年 1 月初順利通過 ISO27001 資安認證,獲得由 The United Kingdom Accreditation Service(UKAS) 發出之證書(如附圖)。特別感謝校方大力支持,使本次認證順利通過。 本單位建置資訊安全管理系統相關工作依時程可歸納如下七階段: 第一階段:專案準備與管理( 97 年 7 月12 至 22 日 ); 第二階段:營運影響評估與規劃資訊安全政策( 97 年 7 月 23 日至 31日 ); 第三階段:風險評鑑( 97 年 8 月 1 日至 9 月 3 日 ); 第四階段:風險控制管理( 97 年 9 月 4 日至 10 月 4 日 ); 第五階段:ISMS 制度建置( 97 年 10 月 5 日至 97 年 11 月 16 日 ); 第六階段:資訊安全稽核模擬演練( 97 年 11 月 17 日至 97 年 12 月 2 日 ); 第七階段:ISO27001 驗證( 97 年 12 月 3 日至 22 日)。 藉由建置資訊安全管理系統過程,本單位針對資訊資產進行盤點列冊,對資產的威脅和脆弱點進行分析,並評估風險的發生機率及衝擊影響程度,而獲得各項資訊資產風險值,加強管制。另外,建立資安政策、修改各項作業之規範、程序及要點以使系統開發維護、主機運作、機房管理皆遵循符合資安要求程序。同時也加強本校一級主管、資訊中心同仁與全校教職員不同等級需求之資安教育訓練,以提升人員資安意識和專業技能,建立資安聯絡人通報機制與辦法、重要服務系統業務持續營運計畫與資料異地備份機房設置等。上述種種重點工作,皆在降低本單位資安事故的發生,以及資安事故發生時,本單位如何處理應變,並降低營運時有形或無形的衝擊。推行 ISMS,並取得國際 ISO27001 證照,只是加強資安整備任務的開始;而維持整個 ISMS 持續運作,以因應無形廣大的網際網路變遷所衍生出各種資安事件,才是本單位日後重要的課題。
|
