服務簡介

ISMS

ISO 27001資訊安全管理系統(Information Security Management System, ISMS)為國際標準規範,是一套有系統地分析和管理資訊安全風險的方法,適用各產業如何建置及獨立稽核驗證的資訊安全管理系統,並依循PDCA的管理循環建立、實作、運作、監視、審查、維持及改善資訊安全管理系統運作的有效性實施輔導。資訊安全的特性分別為機密性(Confidentiality)、完整性(Integrity)、可用性(Availability),資訊安全管理系統以營運風險導向為基礎建立方法論,定義政策及程序,ISMS的目標為透過控制及風險評估把風險降低至可接受的範圍內,保障組織免於不可承受的風險所帶來的影響。ISO 27001資訊安全管理系統架構包含建立資訊安全組織、資訊資產分類與管理、資訊安全政策與目標、各項SOP流程、業務持續運作、法令遵循與風險評鑑等重要項目所組成,並須定期檢視與進行稽核。

PIMS

係為個人資訊管理系統(Personal Information Management System, PIMS)制度,協助企業確保個人資料蒐集及處理過程有充分、適當的控制措施,並依循PDCA的管理循環建立、實作、運作、監視、審查、維持及改善運作的有效性實施輔導,亦可結合資訊安全管理系統(ISMS)專業認知與訓練需求,完善個人資料安全防護機制,並有助於保護個人資訊、增強包括客戶、當事人等利害關係人對於組織在個人資訊管理上的信心。

ISMS/PIMS顧問輔導程序

本公司顧問團隊依循PDCA循環,執行ISMS/PIMS管理制度輔導,從計劃(Plan)開始,制定資訊/個資安全政策、目標、組織;執行(Do),建立管理體系、程序文件、營運持續運作計劃、教育訓練及宣導;完成作業後進行檢查(Check),包含建立監控程序、完成風險評估、以及進行定期稽核;依據檢查結果進行改善(Act)並持續追蹤。

本公司建立之顧問輔導方法論共6階段: 

1. 現況訪談與差異分析

瞭解組織現有之營運作業流程以及使用之關鍵文件表單等,於檢視現有運行之資訊安全制度後,比對與現行ISMS/PIMS國際標準制度之差異,並安排對應之輔導程序。

2. 制度導入與文件建置/維護

提供組織資訊安全管理制度文件(一至四階)之參考文件包含資安政策、管理程序書、工作指導書、文件表單及記錄,並於輔導過程依據客戶營運業務程序進行文件優化及調整。

3. 資產識別及風險管理作業

協助建立資訊資產盤點及風險評鑑程序識別組織現有資訊資產,透過風險類別協助資產管理人員識別可能存在的威脅及風險發生可能性,並產出風險評鑑報告及有效管理及控制風險。

4. 制度宣導及輔導施行

協助說明各階段作業程序書產出之文件,如資訊安全管理制度文件(一至四階)、資訊資產清冊、風險評鑑報告、營運持續計畫…等文件執行及處理方式,協助組織導入ISMS/PIMS資訊安全管理制度。

5. 內部稽核/管理審查

協助組織組建資安管理小組及輔導該單位執行內部稽核,以確認資訊安全制度各程序文件及表單使用之落實狀況,並協助擬定管理審查議程。

6. 第三方外部稽核驗證

協助組織委任第三方驗證機構進行ISMS/PIMS驗證稽核作業,及通過第三方驗證組織稽核,並順利取得相關證書。


效益強化

公司依循管理循環PDCA的精神,落實執行管理作業針對組織做風險評鑑,訂定符合標準與相關規範制度作為依循之準則,程序與技術方面遵循相關控制措施作業。同時本公司顧問團隊也具備豐富實作經驗,於導入過程中也會針對異常發現事項辨識整體資安架構弱點,輔以系統面、終端面、網路面、開發面等角度評估以及建議產業常見解決方案,提供適當之事前檢測、事中監控應變、事後事件調查等資安服務,除能有效符合相關合規要求外,更能實質有效提昇客戶資安防護水準之目標。

中華資安國際公司特色

  1. 同時取得ISO 27001ISO 20000證書
  2. 多張ISO 27001 LAISO 20000 LABS 10012專業證照
  3. 人員具備專業資安背景,取得CEHCHFICCNACISSP等專業證照
  4. 深度解析資安攻擊與風險,提供完整資安解決方案
  5. 從技術面與制度面,協助客戶保護公司重要資產

聯絡我們