請問做哪些認證或其他能讓第三方或是政府、歐美都認定貴公司的資安等級非常好?

it 資安

小MIS 2023-12-21 10:51:15 ‧ 2506 瀏覽

分享至

最近社會責任、資安驗廠變多，各自都有不同的標準，每次都要花大量時間，做不同文件搞定他們
請問有什麼認證體系能對付這些驗廠或是上市、第三方需求嗎?
只需要出具同一個認證文件、數據即可

看更多先前的討論...收起先前的討論...

厚厚 iT邦新手 1 級 ‧ 2023-12-21 10:55:47 檢舉

您都知道各自都有不同的標準了，那怎麼會有同一認證打全部的想法?
單純想了解是有聽聞還是什麼契機讓您有這種想法的?

小MIS iT邦研究生 1 級 ‧ 2023-12-21 10:57:58 檢舉

您好，最近做了幾個客戶或是政府的驗廠，都要寫一百多頁的資安文件
寫得好煩，想詢問是否有一次性解決方案
能寫一份文件或是證明，他們驗廠來丟給他們即可 (說是業界權威認證)

厚厚 iT邦新手 1 級 ‧ 2023-12-21 11:00:12 檢舉

那感覺ISO 27001認證就能達到了，還是有甚麼特別需求?

froce iT邦大師 1 級 ‧ 2023-12-21 11:02:17 檢舉

沒有，資安這麼多面向，基底的ISO 27001先做，然後27001就會逼你生出日常維護、進貨檢驗之類該有的技術文件，建立管理系統只是基礎。

但，這要看你要做生意的對象要求的是什麼，廠驗變多就是基本要求提高而已，有這些資安需求要定的話可以在契約裡要求，不見得你們整個廠都一定要遵守，要看你們的性質。

厚厚 iT邦新手 1 級 ‧ 2023-12-21 11:04:08 檢舉

ESG又是不同的認證
就像一個人會程式設計有程式的證照，會DB有DB的證照，懂資安有資安的證照
就算真的有一個證照能打全部，那相對花的工也不會少

小MIS iT邦研究生 1 級 ‧ 2023-12-21 11:04:46 檢舉

我們有 ISO 27001 但驗廠的人都還需要各自在做不同的文件，不全部參考當初 ISO 27001 文件
感覺現在工作就是在寫文件，不幹正事...
明明拍照就行的事，要考成正式文件的寫法，形式主義

厚厚 iT邦新手 1 級 ‧ 2023-12-21 11:14:23 檢舉

驗廠的要求與目標無法統一，這也是他們驗廠的職責

froce iT邦大師 1 級 ‧ 2023-12-21 11:20:24 檢舉

> 但驗廠的人都還需要各自在做不同的文件，不全部參考當初 ISO 27001 文件

當然啦，你要外部人員相信你們自己做出來的資料?
甲方去你家廠驗是去驗實際狀況的，不是去泡茶只看你們紙面資料的，那叫瀆職。而且要對你們紙本照單全收的話，那幹嘛浪費時間去廠驗?

另外這些形式主義在遇到履約爭議的時候是最有力的證據，光照片沒說明，有些時候真正履約是半年後，履約爭議甚至有可能是1年甚至2年後，不記錄清楚到時候是誰要擔責任?

會要寫這些文件都是各種痛痛過來的，履約爭議有些是甲方、有些是乙方的錯，你不想寫，你以為去廠驗的那些人真的想寫喔...

窮嘶發發發 iT邦高手 1 級 ‧ 2023-12-21 11:26:48 檢舉

工廠的話，歐美認 IEC 62433 而且他是有分級的
還有 TSMC 他們有通過 IEC 15408 EAL6
IEC 認證跟 ISO 不一樣的地方就是他有分級，每一級要求都不同
級數越高，費用越高，人力需求也越高，ISO 只要顧問來，你跟指引手冊，做完，稽核過就拿到證書
而且重點是 ISO 拿到幾乎永久可以使用 IEC不一樣，他只要標準變更，你得重新認證