第49期

資訊安全管理系統(Information Security Management System, 以下簡稱 ISMS)係建立、實作、運作、監視、審查、維護及改進組織資訊安全之系統化作法，以達成營運目標。ISMS之第三方驗證基於公正、獨立、一致性之原則，依據驗證標準執行稽核，目前國際上採用之ISMS驗證標準為ISO/IEC 27001。本會於2003年開始提供ISMS驗證之認證服務，依據ISO/IEC 17021-1及ISO/IEC 27006認證規範，對申請本會認證之驗證機構執行評鑑，以確保其持續符合本會認證要求。本會並分別於 2014年及2015年簽署亞太認證合作組織(Asia Pacific Accreditation Cooperation, APAC)及國際認證論壇(International Accreditation Forum, IAF) ISMS多邊相互承認協議，協助我國產業界藉此國際相互承認的合作平台，拓展國際經濟活動。

隨著資訊科技的發展，資安、個資事件等層出不窮，威脅與風險與日俱增，公私部門紛紛意識到資安事件造成的嚴重性，因此對於資安防護需求大量提升，為強化國內資通安全環境之健全，本會分別於2022年1月及5月於ISMS認證範圍下擴增「個人資訊去識別化過程管理系統驗證方案」及「資通安全管理法驗證方案」，發展並提供更完整資訊安全管理系統(ISMS)認證服務。

「資通安全管理法」(以下簡稱資安法)立法宗旨為積極推動國家資通安全政策，加速建構國家資通安全環境，以保障國家安全，維護社會公共利益。為使政府機關、產業界提升資安防護、組織強化，以及落實法制，本會與資安法主管機關，基於資訊安全管理系統領域之認證基礎下，於2022年5月開放「資通安全管理法驗證方案」認證服務。

本項「資通安全管理法驗證方案」之認證，依據國際認證規範要求之基礎，如稽核時明確界定驗證範圍、決定合理之稽核人天數、有效稽核證據之展現、不符合事項判定等執行內容，另外針對資安法要求之法遵事項，訂定特定附加要求，期望強化查核政府機關(構)資安維護計畫/實施情形、資安責任等級應辦事項、資通系統防護基準等法遵性驗證，落實ISMS資訊安全管理系統制度之實施及達成驗證之有效性。

資訊安全管理系統驗證標準ISO/IEC 27001於2005發行第1版，期間歷經2013修訂發行第2版，目前最新版本為2022年；資訊安全管理系統認證規範ISO/IEC 27006，則分別於2007年、2011年、2015年完成3次修訂，以及2020年小幅修訂後，目前發展方向為將此認證規範再區分為針對資訊安全管理系統及隱私管理系統之認證規範ISO/IEC 27006-1及ISO/IEC 27006-2，此2份標準目前皆於制定階段，預計於2023年底及2024年第2季發布。綜觀ISO發布標準中，ISO 27000系列標準已高達63種，顯見國際間對此領域之關注程度及重要性。

本會自2003年開始提供資訊安全管理系統認證服務以來，認證驗證機構所核發證數穩定成長，尤其在「資通安全管理法」施行後，發證數成長307%，資訊安全風險議已為國內各界重視。以如下的驗證證書的分布圖觀之，產業界的證書數已占六成以上，可了解到國內產業對資安的重視。另隨著權責主管機關以及國際供應鏈，採認第三方驗證機構之驗證結果，以及如上所述，資安國際系列標準的發布，可預見資安領域的認驗證將會更加蓬勃發展。

台灣因政經情勢特殊，遭受境外網路攻擊從未消退，加上新形態攻擊層出不窮，台灣遭遇勒索軟體攻擊在亞太地區排名前茅，發生率是亞太區平均也近2倍。面對資訊科技各式各樣新課題的出現，認證也必須「與時俱進」、「滾動式調整」，本會為遵循ISO/IEC 17011:2017對認證風險之思維，嚴格檢視認證、驗證過程之潛在風險，並進行評估分析。

驗證資訊與績效管理之要求，透過認證管理過程風險相關量化資訊蒐集，如「不符合」之態樣進行歸納分析、建立「見證抽樣機制」等，期能於認驗證過程建立互動式持續改進之模式，確保有效控管認驗證品質與降低風險。另一方面，同時鼓勵驗證機構積極投入資源，自主提升驗證作業品質，依據認證規範之要求，在比例原則、成本效益等精神下，共同發揮應有之驗證價值與信心水準。

展望未來，本會認證發展將持續與國際接軌及支持國家政策，並強化國內權責主管機關、產業界及消費者對本會認證結果的接受及信賴，並將秉承一貫的公正、獨立與透明原則提供認證服務，拓展與資安相關新領域認證方案，與國內符合性評鑑機構，共同創造具公信力的認驗證環境，為國內資訊安全的環境，以及協助國內業者輸銷國際做出更大貢獻。