資安所通過三合一式管理制度驗證

資策會資安科技研究所日前通過三合一式管理制度驗證，由資安所所長高天助（圖中左三）帶領內部團隊一同完成管理制度整合，簡化了內部繁瑣的作業流程。

資策會資安科技研究所（資安所）日前通過BS 10012個人資訊管理系統（PIMS）的驗證，更將先前已通過的ISO 27001資訊安全管理系統（ISMS）與ISO 20000資訊服務管理系統（SMS），不同驗證標準的要求整合在一起，是臺灣第一個以三合一式的管理制度，獲得國際驗證的單位，資安所更將ISO 20000升級至2011年的最新版本。

三合一式的管理制度，讓資安所簡化了管理程序以及各項控制規範，只需要1本政策文件就包含了3個驗證標準的管理制度，並使用共通性的作業規範與文件，從資安所的服務流程開始整合，找出流程中含有的相關資產與風險，最後根據各個流程中運用到的個資進行對應的安全管理措施，整合過後方便相關人員在作業時，只需查閱一份作業規範或是文件就得知3個驗證標準的要求或是如何執行應變措施。

而稽核時必須審查的項目，從未整合前的27項減少至14項，也就是說，沒有整合前，有一半的審查項目必須重複進行，是非常耗費資源與人力成本的，行政院國家資通安全會報技術服務中心組長黃小玲就表示，整合後帶給內部同仁最大的好處就是不再需要因為內外稽的需要，不斷被稽核人員或是同事們打擾，重複提供相同的審查資料。

這已經不是資安所第一次將不同的標準整併在一起，在2008年獲得ISO 20000認證時，就將已於2006年獲得認證的ISO 27001整合在一起，簡化了內部繁瑣的作業流程，收到不錯的效益，所以這次導入BS 10012標準，在專案規畫時，就決定要採用整合式的作法。資安所在去年6月時，正式啟動BS 10012導入專案，花了5個月的時間取得了國際認證。

通過驗證的範圍涵蓋了整個資安所，包括了技術服務中心、檢測技術中心，以及業務發展中心。

內外稽人員的要求必須更嚴格
此次BS 10012專案從規畫到執行全由資安所內部團隊主導，並沒有引進專業的顧問服務，和2008年導入ISO 2000時的作法有所不同，黃小玲表示，內部同仁經過教育訓練後，對於不同標準有哪些要求可以整合的掌握度比起顧問公司更高，這是因為內部同仁更了解資安所的作業流程。

從專案啟動到認證通過雖然僅花了5個月的時間，但在這段期間資安所也碰到了不少的困難與挑戰，其中最大的挑戰就是在整合的過程中，不能遺漏3個驗證標準的要求，更要符合個資法的規範，黃小玲表示，對於內外稽人員的要求與考驗更是嚴苛，除了要熟悉3個標準與個資法的要求之外，內稽人員更要通過5天主導稽核員的培訓，才不會在稽核的過程中，遺漏了某個標準或是個資法的要求。文⊙張景皓