提供安全、穩定、完整的資訊服務是艾富資訊的核心價值，各業務單位所使用的資訊管理系統，除了功能健全，效益和效能優益之外，最重要的是資訊安全。而資訊安全向來也是本公司最為注意的一環，配合內外部環境，依據自身業務特性，建立一套完整的資訊安全管理機制，並落實於開發及運作實務。資訊安全管理系統的施行在過去承包各機關專案時，早已實行。而在政府通過並施行「資通法」後，艾富資訊為配合法令，並提高層級，開始導入符合ISO 27001標準框架的ISMS，以提供客戶更能信賴的資安作為保證，委辦機關可無需再委請第三方驗證。

本公司亦將輔導客戶導入ISO 27001納入業務範圍，本公司多位專案同仁（九位）擁有ISO 27001 ISMS Lead Auditor（主導稽核員）證照，提供協助客戶建置ISMS專案服務，分析特性建立制度，輔導ISO 27001資訊安全標準導入，並協同取得驗證。亦可陪同客戶受稽，協助回應及改善各種缺失，做為客戶與稽核驗證單位之橋樑。歡迎各機關學校來電洽詢，本公司安排專人簡報及訪談。

資訊安全管理系統輔導建置、導入取得ISO 27001國際認證

過去就有許多政府機關、學校和企業依據ISO 27001的技術標準，建置適用於自身組織特性與需要的資訊安全管理系統(ISMS)，並通過政府認可的認證機構稽核，取得ISO 27001的驗證。在資通法通過施行之後，就有更多組織實施資訊安全管理系統(ISMS)，作為其風險管理策略必要的一環，而建置ISMS及導入ISO 27001，建立文件化資訊及持續改善，是機關未來在資訊工作上的重要項目，本公司提供前置咨詢及導入輔導，與客戶共同分析適用的資訊安全系統，建立資訊安全管理系統的架構，提供文件化過程的協助與執行過程的咨詢，協助政府驗證認證單位認證通過。ISO 27001資訊安全管理系統建置、導入與驗證的程序如後；本公司協助建置、導入，並持續至驗證通過，及往後每年定期查驗。程序如下：

簡報訪談：提供ISO 27001 ISMS導入規劃說明，瞭解客戶特性及導入範圍，並提供建議及解決方案。
建立標準：分析單位內、外部需求，進行險風險評鑑與資產盤點，據此建立資安政策、資安制度流程與所有文件（四階）。
落實執行：依據製定之資安行為規範及準則，落實資安標準作為，檢視執行過程中是否符合要求，並建立文件化資訊（規範、標準及證據）。
內部稽核：制度及標準建立之後，經過一段時間的運作，確定所有流程均已依照前述分析及規範執行，便可啟動內部稽核程序。
外部驗證：資安系統運作熟練，並完整保存文件（證據）、完成內部稽核後，機關便可委託驗證機構進行外部稽核審查驗證。
持續改善：資訊安全管理系統是一持續改善的運作機制，除了檢視運作是否落實外，隨著時間推演與新威脅及風險發生的可能，持續加以調整改善。

ISO 27001驗證作業的流程

綜合上述，機關從對ISO 27001 ISMS的瞭解、導入及驗證大致如後述：首先由輔導機構（例如本公司）協助機關、企業瞭解資訊安全管理系統的意義及重要性，並決定採用ISO 27001資訊安全管理框架。其次（第二部份）輔導機構依據客戶自身的特性，全面檢視內、外部環境、風險（人員、設備、技術）及資安作為，在ISO 27001資訊安全管理框架下，建立符合自身需要，且完整的資訊安全作業規範及標準（四階文件），落實於文件化資訊及持續改善的二大原則。接著（第三部份）進入驗證作業階段，選擇TAF認可之驗證機構進行審查驗證，在審查合格之後取得ISO 27001驗證合格證書。最後（第四）進入持續改善的階段，執行年度複評與續評。

前段中第三部份的「選擇TAF認可之驗證機構進行審查驗證」程序大致如下：

選擇驗證機構：本公司配合各機關，客觀選擇TAF認可之標準驗證機構（名單），進行審查驗證與證書取得。 註(1)BSMI提供之關於「TAF認可驗證機構名錄」。
驗證機構簽約：選定驗證機構後進行訪談及討論細節，並與驗證機構簽定ISO 27001驗證契約。
協調稽核日程：針對驗證範圍及內容，討論開始稽核日期、時間及稽核期程。
建置稽核小組：驗證機構成立稽核小組，排定計畫表，每次稽核作業，按日程及項目預做檢（查）核表。
執行現場稽核：實地至機關進行現場稽核，由起始會議開始，進入各分項檢驗及審查，透過訪談、觀察及檢視各種文件化資訊，取得合格證據。
提交結案報告：完成必要之現場稽核後（次數視檢驗規模而定），依據結果提交結案報告後進行審查報告。
取得合格證書：由驗證機構製作證書，填列證書編號，載明對象、內容及日期，寄發給受驗證機關。
年度複評續評：ISO 27001是一個資安持續改善的框架，新風險隨時會出現…，往後有年度複評及續評機制。

註(1)：「經濟部標準檢驗局(BSMI)」表示所提供之名單僅供參考，該局基於政府機關公正立場，並未推薦特定驗證機構，廠商視需要及意願自由選擇接續驗證之機構。

本公司所擔任之角色為輔導客戶分析、建置、導入ISO 27001，協助通過「TAF認可之驗證機構」之審查驗證，取得通過ISO 27001 ISMS合格證書，並確保往後文件化資訊及持續改善，處理往後每年之複評與續評。

客　　戶：欲導入ISO 27001 ISMS並經驗證審查取得證書之各機關、學校或廠商…。
驗證機構：TAF認可之標準驗證機構。（如上連結表格中所列）
輔導廠商：具有輔導客戶分析、建置、導入ISMS，並取得通過ISO 27001驗證審查之廠商，例如：本公司。

本公司輔導客戶導入ISO 27001，會依客戶範圍、特性及需求，分析最適當之ISMS架構，建立資安政策與承諾書，協肋建立各種人事物之資案作為準則與模式，並提供完善技術咨詢與必要文件化資訊（四階文件），配合客戶特性修改為客戶適用文件，並協助落實於實務作業，建立各種記錄及文件化資訊，再輔導ISMS內稽作業，直至ISMS的落實，再由驗證機構進行驗證。