本校於9月30日經ISO委員稽核後,通過ISO27001:2005(國際資訊安全品質)認證,繼2008年率先全國大專院校通過ISO9001:2008(品質管理)及ISO14001:2004(環境管理)雙驗證,及今年5月通過的ISO14001:2004與OHSAS18001:2007(職業安全衛生)雙認證後,為北醫大的國際標準化作業再添佳績。
教育部自2007年起,便開始推動各大學資訊安全的措施,並函請各校訂出相關的時程規劃。本校資訊處於兩年前即著手進行相關作業,並陸續進行機房改善、加強資訊安全設備,及規範建立等基礎工作,今年5月即已進入ISO27001:2005國際認證相關程序,6月更接受了戰鬥營般教育訓練,以非常短的時間讓校內同仁了解什麼是ISO27001、認證範圍與方式、資訊資產分類、風險評估,以及如何建立風險改善措施,再加上每週兩次的顧問會議,資訊處於暑假期間便已完成了12項法規、20項工作細則、23份表單、以及其他文件共111份。【圖:前排左起:三位稽核委員、邱校長、李副校長、許明暉資訊長,及後排的資訊處同仁於通過認證後合影】
除了準備文件之外,使用環境中的資安動作更不可缺,包括要宣導使用者定期更換密碼、密碼長度不要過短、密碼複雜度要夠、離開電腦要登出或是鎖定螢幕保護措施,機密或限閱文件的妥善分類與保存等,每個小動作都牽動著資訊安全措施的實施成效。
9月24日及30日兩天,貝爾認證公司來校實地評核,認證範圍為資訊處主機房及電子文件管理系統。24日進行的是第一階段的文件審查,委員們提出7項待改善項目。經過一週的謹慎準備後,30日則為實質的作業審查,直接挑戰資訊處全員的資訊安全作業程序與行動。當天在邱文達校長、李友專副校長、許明暉資訊長的見證下,三位稽核委員們一致宣布北醫大順利通過ISO27001:2005驗證審查。(文/資訊處)
