文/鄭宜芬
數位發展部資通安全署今(21)日正式啟動「受託者資安聯合稽核計畫」,聯合不同公務機關共同辦理委外廠商稽核。此次資安署整合121個機關授權,針對15家重要資服業者展開稽核,透過建立稽核共通標準,減輕廠商行政負擔,強化政府委外供應鏈資安防護安全。
[ 加入 CIO Taiwan 官方 LINE、Facebook 與 LinkedIn,與全球 CIO 同步獲取精華見解 ]
資安署表示,過去很多幫政府做系統的廠商,如果同時幫多個政府機關服務,就得配合接受多次資安稽核,不僅對廠商來說重疊耗時,對政府來說也增加了許多行政作業。資安署推動「受託者資安聯合稽核」,讓廠商透過一次全面稽核的形式,其結果即可同時滿足多個機關對受託者資安管理的監督職責與法遵合規要求。
資安署指出,聯合稽核採「風險導向」方式辦理,從廠商的「服務機關數量」及「維運核心資通系統數量」篩選出國內15家重要資服業者作為稽核對象,並已獲得中央各部會等121個機關響應參與聯合稽核,今年為首次辦理,透過跨機關共同參與及共享稽核成果,不僅可節省各機關行政人力與作業成本,更能有效降低廠商受稽核頻率,使業者得以將資源集中於服務維運與資安強化,未來將規劃逐步擴大至地方政府及四院等機關共同參與。
[ 推薦閱讀:從 Claude Mythos 看 AI 時代的資安治理 ]
15家重要資服業者聯合稽核
1.康和資訊系統股份有限公司
2.奕祥資訊股份有限公司
3.叡揚資訊股份有限公司
4.凱發科技股份有限公司
5.關貿網路股份有限公司
6.亞昕資訊股份有限公司
7.凌群電腦股份有限公司
8.資拓宏宇國際股份有限公司
9.采威國際資訊股份有限公司
10.哈瑪星科技股份有限公司
11.凌網科技股份有限公司
12.桓基科技股份有限公司
13.宏碁資訊服務股份有限公司
14.中華電信股份有限公司企業客戶分公司
15.康大資訊股份有限公司
[ 推薦閱讀:AI 治理底線——NemoClaw 漏洞警示的資安斷路機制設計原則 ]
資安署強調,推動聯合稽核的核心價值在於建立「一致且具共通性」的稽核標準,這將有助於委外服務的資安品質。期望透過此制度,促使資訊服務業者持續精進資安管理措施,從源頭強化政府委外供應鏈的資安韌性,達成政府與產業雙贏的目標。
(本文授權非營利轉載,請註明出處:CIO Taiwan)
