高科技製造業應客戶要求，積極評估ISO 27001認證

臺灣目前已經有手機代工業者，基於供應鏈廠商的要求，正積極尋求在最短時間內取得ISO 27001認證。至於，其他的高科技業者，雖然不急著取得ISO 27001資安認證，卻也積極建置資訊安全管理制度（ISMS）。

勤業眾信企業風險管理部協理吳佳翰指出，目前手機國際大廠摩托羅拉已經將ISO 27001，列為其供應鏈廠商的稽核要點之一。因此，臺灣的手機代工廠商，為了爭取代工訂單，必須符合上游供應鏈廠商的稽核要求，紛紛急於取得ISO 27001認證。吳佳翰說，現階段，已經有多家手機代工廠商正在向顧問公司詢問，積極評估如何在最短期間內取得ISO 27001資安認證。

摩托羅拉對於供應鏈下游廠商的資安要求在於，機密資料保護以及企業永續經營發展（BCDR）兩方面。吳佳翰表示，機密資料保護主要在於保護研發資料與手機規格資料等；至於企業永續經營發展，則是指提供持續供貨的能力。目前摩托羅拉透過ISO 27001的稽核項目，要求代工廠商完成上述兩點的資安保護。

雖然手機代工業者急於取得資安認證外，其他高科技業者也積極建置資訊安全管理制度（ISMS）。資誠顧問價值管理服務部經理李盈德表示，「相較於其他產業，高科技業者多數都有建立資訊安全管理制度的強烈需求。」。半導體以及EMS（電子製造服務）業者，對於IT系統依賴已深，即便外部沒有供應鏈廠商或者是法規，強烈要求取得資安認證，「建立資訊安全管理制度，也成為這些高科技業者在面對資安管理議題時，最容易著手的一個方法論。」

建立一套有制度的ISMS，對於高科技業者而言，取得資安相關認證只是一線之隔。台積電相關資安主管便曾表示，「該公司自己有一套嚴謹的資安管理制度，未來只要供應鏈廠商要求台積電取得資安認證，台積電便可以在ISMS的基礎上，在最短時間內取得認證。」

BSI英國標準協會臺灣分公司協理蒲樹盛表示，目前臺灣已經有99家企業取得ISO 27001資安認證。其中，以高科技製造業、醫療業、航太業以及郵務業等，分別都只有1家企業，在該行業中取得ISO 27001認證，成為取得資安認證比較少的幾個產業別。

「相對於金融業或者是資料處理業者，高科技製造業者對於資安認證的適用範圍，更形複雜，」蒲樹盛說，因此，高科技業者評估是否要取得資安認證的時間將更久。他建議，研發部門以及包含製程參數內部資料庫的資訊系統，都是這些高科技業者可以評估的適用範圍。文⊙黃彥棻