中華電信取得ISO 27001資安認證

中華電信今天正式取得英國標準協會BSi核發的資訊安全管理制度認證ISO/IEC　27001:2005證書，驗證涵蓋範圍以保護行動電話客戶的資料為主。目前包括遠傳、台灣大哥大等電信業者都已通過認證。

ISO 27001是BSi發布的資訊安全管理系統（Information Security Management System）標準，其中包括安全政策、資訊安全組織、資產管理等十一個章節。BSI在認證期間會進行風險評鑑、審查政策、範圍和採用的程序，檢查系統中遺漏和需要修改的地方。完成稽核後企業將取得證書，一次的有效期間為三年。

這項認證由中華電信行動通信分公司負責，從去年八月成立顧問團隊負責導入ISO 27001國際資安標準認證，並開始建置資訊安全管理制度（ISMS）。約歷經十一個月的過程，在今年七月通過認證，今天由BSi正式核發證書。中華電信行動通信分公司副總經理林仁紅表示，希望能夠充分保護行動電話客戶的個人隱私資料，並強化資訊安全控管。

中華電信此次驗證範圍包括客戶資訊管理、建置相關系統以及技術服務，涵蓋三項主要業務，有行動通信業務營運暨資費管理系統、企業資訊網路維運及管理與行通客服中心應用系統開發、維運及管理。行通分公司協理陳長榮表示，資訊安全管理主要實現在公司內部管控，會把和客戶相關的資料都納入系統中管理。

中華電信表示，在準備期間的十一個月間完成多項建置工作，包括差異分析、資產盤點、風險評鑑、風險處理計畫之擬定與執行、建立資安管理制度文件、訂定有效性量測、ISMS教育訓練、建置資安事件通報系統、進行內部稽核工作、舉辦管理階層審查會議、實施資訊安全BSI預評並針對內部稽核及BSI預評所發現之不符合事項提出矯正預防措施。

相較台灣大哥大早在去年年初就已通過認證，中華電信則是在去年八月才開始正式籌備。不過陳長榮表示，之前中華電信有一套自己的資安管理標準，只是沒有去認證，而去年因為發現通過認證在市場上有一定的重要性，因此將細節做了一些修改，再去拿到ISO 27001認證。

但陳長榮強調，中華電信一直都在做資安管理，並非去年才開始。他認為通過認證可以增加客戶對中華電信在資訊服務安全上的信任度，也可因應目前相關法規業務契約對資訊安全管理認證的要求。未來則會以循序漸進的方式擴大驗證範圍，將資訊安全管理系統導入各個客戶資訊系統。