作者簡歷

作者現職凌群電腦資安巨資暨智慧城市技術研發處總處長，資訊安全經驗由防火牆開始至今已有22年，資訊安全管理制度(BS7799 ~ ISO 27001)也有15、16年，參與多個政府A級機關的資安工作(含資訊安全管理制度，整體資訊安全規劃與執行)。

由SGS 2020「資訊治理卓越獎」談凌群的資安治理

台灣科技檢驗公司－SGS台灣為表揚通過資安或個資取得國際認證且具有顯著資訊治理成效之台灣企業，自2019年起舉辦之SGS「台灣區資訊治理年會」中頒發「個資管理卓越獎」及「資安管理卓越獎」兩大獎項。

凌群電腦經過SGS專家團隊嚴格評選脫穎而出，榮獲SGS「2020年資安管理卓越獎」，並於10月19日公開頒獎，由公用事業群袁桂笙副總經理(照片右)代表領獎。



深究凌群獲獎原因，主要有以下幾個重要的原因：

一、管理階層積極投入相關資源，並因應法令法規要求持續精進，以滿足利害關係人之期待。

二、積極建置資訊治理相關管理系統，通過ISO 27001、BS 10012、ISO 20000等驗證，並第七次通過國際軟體品質CMMI-DEV V1.3 ML3評鑑。

三、嚴謹的自我檢視，凌群電腦以「資通安全管理法」之A級特定非公務機關自我要求，於公司內部擴大資安管理制度驗證範圍，打造資安堡壘，提升公司整體資訊安全。

四、擴大ISO 27001驗證範圍，包含公司內之技術中心、研發中心與資訊安全監控中心(SOC)，同時佈署SSDLC(安全軟體開發生命週期)查核機制。

凌群電腦一直以來持續在追求品質的道路上前進，我們並不是單獨的看資安治理或資訊安全管理制度，而是將資安治理、資訊管理以及資訊安全管理視為公司品質管理的一部分，詳細進程分為以下三個階段：

第一階段基礎(標準化)建構

一、自2000年開始，凌群花了4年時間建置標準化的基礎建構，著手於公司內部導入ISO 9001，主要是進行「基礎工作作業流程訂定」。

二、進行組織層面標準流程建立，導入的是國際軟體品質CMMI ML3評鑑，並參考其他標準如 IEEE 829。

第二階段完整的改善機制(利用數據管理績效與品質)

在此階段凌群完成了兩項工作，包括：
一、基礎量化管理，收集完整的基礎度量資料。
二、進階量化管理，完成組織流程最佳化。
在此階段，凌群順利通過國際軟體品質最高等級CMMI ML5評鑑。成為國內第一家通過此項最高等級評鑑之廠商。

第三階段整合的改善機制

第三階段整合的改善機制，凌群電腦考慮隱私與資訊安全，除了原有的制度外，開始導入了跟個資管理有關的BS 10012(2014年)，資訊安全管理制度ISO 27001及資訊服務管理ISO 20000等制度。並嘗試將不同的標準 (ISO 27001、ISO 20000) 整合至既有的品質管理中(參圖二)。



整合的部分，則包涵了：
一、資訊服務的設計與移轉
二、資訊服務的發行與部署
三、資訊安全的 AP 要求等
並將相通，共用的部分整合為公用，包含 : 政策、教育訓練及內部稽核等。

SGS「資訊治理卓越獎」的獲得，無疑對凌群電腦長期的投入起了最大的鼓舞作用，凌群電腦將持續追求高品質之品質管理，以提供用戶最大的保障。