iT邦幫忙

0

請問做哪些認證或其他能讓第三方或是政府、歐美都認定貴公司的資安等級非常好?

  • 分享至 

  • xImage

請問做哪些認證或其他能讓第三方或是政府、歐美都認定貴公司的資安等級非常好?

最近社會責任、資安驗廠變多,各自都有不同的標準,每次都要花大量時間,做不同文件搞定他們
請問有什麼認證體系能對付這些驗廠或是上市、第三方需求嗎?
只需要出具同一個認證文件、數據即可

看更多先前的討論...收起先前的討論...
WUcheap iT邦研究生 4 級 ‧ 2023-12-21 10:55:47 檢舉
您都知道各自都有不同的標準了,那怎麼會有同一認證打全部的想法?
單純想了解是有聽聞還是什麼契機讓您有這種想法的?
小MIS iT邦研究生 1 級 ‧ 2023-12-21 10:57:58 檢舉
您好,最近做了幾個客戶或是政府的驗廠,都要寫一百多頁的資安文件
寫得好煩,想詢問是否有一次性解決方案
能寫一份文件或是證明,他們驗廠來丟給他們即可 (說是業界權威認證)
WUcheap iT邦研究生 4 級 ‧ 2023-12-21 11:00:12 檢舉
那感覺ISO 27001認證就能達到了,還是有甚麼特別需求?
froce iT邦大師 1 級 ‧ 2023-12-21 11:02:17 檢舉
沒有,資安這麼多面向,基底的ISO 27001先做,然後27001就會逼你生出日常維護、進貨檢驗之類該有的技術文件,建立管理系統只是基礎。

但,這要看你要做生意的對象要求的是什麼,廠驗變多就是基本要求提高而已,有這些資安需求要定的話可以在契約裡要求,不見得你們整個廠都一定要遵守,要看你們的性質。
WUcheap iT邦研究生 4 級 ‧ 2023-12-21 11:04:08 檢舉
ESG又是不同的認證
就像一個人會程式設計有程式的證照,會DB有DB的證照,懂資安有資安的證照
就算真的有一個證照能打全部,那相對花的工也不會少
小MIS iT邦研究生 1 級 ‧ 2023-12-21 11:04:46 檢舉
我們有 ISO 27001 但驗廠的人都還需要各自在做不同的文件,不全部參考當初 ISO 27001 文件
感覺現在工作就是在寫文件,不幹正事...
明明拍照就行的事,要考成正式文件的寫法,形式主義
WUcheap iT邦研究生 4 級 ‧ 2023-12-21 11:14:23 檢舉
驗廠的要求與目標無法統一,這也是他們驗廠的職責
froce iT邦大師 1 級 ‧ 2023-12-21 11:20:24 檢舉
> 但驗廠的人都還需要各自在做不同的文件,不全部參考當初 ISO 27001 文件

當然啦,你要外部人員相信你們自己做出來的資料?
甲方去你家廠驗是去驗實際狀況的,不是去泡茶只看你們紙面資料的,那叫瀆職。而且要對你們紙本照單全收的話,那幹嘛浪費時間去廠驗?

另外這些形式主義在遇到履約爭議的時候是最有力的證據,光照片沒說明,有些時候真正履約是半年後,履約爭議甚至有可能是1年甚至2年後,不記錄清楚到時候是誰要擔責任?

會要寫這些文件都是各種痛痛過來的,履約爭議有些是甲方、有些是乙方的錯,你不想寫,你以為去廠驗的那些人真的想寫喔...
工廠的話,歐美認 IEC 62433 而且他是有分級的
還有 TSMC 他們有通過 IEC 15408 EAL6
IEC 認證 跟 ISO 不一樣的地方就是他有分級,每一級要求都不同
級數越高,費用越高,人力需求也越高,ISO 只要顧問來,你跟指引手冊,做完,稽核過就拿到證書
而且重點是 ISO 拿到幾乎永久可以使用 IEC不一樣,他只要標準變更,你得重新認證
小MIS iT邦研究生 1 級 ‧ 2023-12-21 13:30:53 檢舉
謝謝F跟嘶大,實際有按照ISO去做,能來驗收實際狀況,他們能看是最好的
但他們更多希望有完整書面說明 (像是回到大學寫報告..)
工作都卡在無聊文件上面真是會讓人崩潰-.-"
froce iT邦大師 1 級 ‧ 2023-12-21 14:10:29 檢舉
這很正常,工作就是這樣,甲方付給你們公司的錢就是包括做這些事的,除非你像雷神那樣有去審視去談那些不必要,那些做不到,或是合約裡沒定,那你本來就有履約的義務。

另外,在訂定合約的時候本來就應該把資安這塊考量進去,並且報價。
圖片
  直播研討會
圖片
{{ item.channelVendor }} {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中

1 個回答

11
Ray
iT邦大神 1 級 ‧ 2023-12-21 11:24:21
最佳解答

這是稽核議題, 稽核有三種:
第一方稽核: 公司自己內稽
第二方稽核: 公司的利益關係人來外稽
第三方稽核: 非利益關係人的獨立單位來外稽

其中:
第三方稽核通常有標準可依循, ISO/NIST/IEC...等等, 獨立單位如: SGS, BSi, TUV...等都是. 但是其他人承不承認第三方稽核的結果? 這不一定, 要看你的利益關係人怎麼想?

第二方稽核通常是最嚴格的, 而且沒有標準可循, 利益關係人可以自由定義他想規範的內容, 通常是在雙方簽訂合約之前, 就要先談好. 能不能協商? 要看雙方主事者誰比較強勢?

某台廠是 Intel 產品的製造供應商, 據說 Intel 對他們要求的資安規範有一千多條, 即便它們已經通過了 ISO-27001 的第三方驗證, 那一千多條仍然要被 Intel 的外稽檢視.

某新創企業接到歐盟國家級電信商的訂單, 對方總共來了兩千三百多條資安規範, 我協助此新創跟對方協商, 砍到只剩下 1/4 要做, 其他的通通被我打回票.

所以第二方稽核要怎麼做? 完全是雙方協商出來的, 也不是對方講的你就要全收. (當然, 對方業務會拿取消訂單來壓你, 這時候就要看你們的資安顧問, 有沒有能力壓回去了; 你要有很充足的理由, 說服對方: 為什麼 X/Y/Z..這幾條都可以不用做?)

國內也曾有某超大金控的資安部門, 要求 Linux OS 裡面的 root 帳號必須只能有 Read only 權限, 我們所有人拼命勸都講不過他, 我也懶得跟他耗, 就真的做出一台 root 只有 read only 權限的空白主機給他, 請他自己把軟體上架看看....

一個星期之後, 他就默默的放棄稽核這條了....

小MIS iT邦研究生 1 級 ‧ 2023-12-21 13:28:50 檢舉

謝謝雷神!
看來只能想辦法說服公司去請長期顧問或是專人來做這件事
否則都壓在IT正事都做不了

root 只有 read only
我好像也處理過。也是某家金控

搞很久就是了。真的會死人的。

我要發表回答

立即登入回答