So-net取得ISO 27001資安認證

臺灣ISP業者So-net今年1月通過ISO 27001資安認證，So-net表示，此次驗證的機房囊括帳務系統、遊戲中心的Web Service、小額付款系統（線上金流），以及IDC等相關服務在內。相較原本日本母公司規範的個人資料管理政策（PIM），ISO 27001強化So-net在應用程式開發流程控管、系統存取控制網路設備存取以及系統監控。

So-net資訊技術處協理楊凱雄表示，其實臺灣So-net必須遵守日本母公司採行的個人資料保護等相關資安政策規範。所以，在導入ISO 27001資安認證之前，So-net已經有相關的資安政策和作法。

相較於其他同業，So-net算是較晚取得ISO 27001認證的ISP業者，楊凱雄指出，原本在2008年第三季就已經開始規畫取得ISO 27001認證，但在2009年10月原本的機房預定搬遷，為了避免認證的機房，因為搬遷後必須重新認證的麻煩，便等到完成機房搬遷後，在2009年12月再進行ISO 27001的資安驗證。楊凱雄坦言，因為機房搬遷，導致資安認證計畫延遲7、8個月之久。

臺灣BSI副總經理蒲樹盛表示，PIM和ISO 27001差異點在於，PIM專注於個人資料的保護，但ISO 27001保護的不只有個人資料，還包括組織等相關營業秘密資料，廣度較PIM廣，PIM則可補ISO 27001在個資保護的深度。

臺灣So-net資訊技術處資訊安全部主任賴居正表示，導入ISO 27001的過程中，除了強化許多表單流程、將許多文件標準化外，也新增該公司對應用程式開發的流程管理、系統和網路設備存取控制以及系統監控等項目。他指出，以往資訊部門在應用程式上線前，只會做系統上線測試，但導入ISO 27001之後，在應用程式開發的測試階段還必須增加安全性測試，例如黑箱測試等。

由於導入ISO 27001是資訊部門的新增專案，身為該專案的專案經理之一的賴居正表示，在整個導入的過程中，對於網路部和系統開發部門，每周大約增加近20％的工作量，但對於系統管理部門的工作量則增加30％之多。文⊙黃彥棻