在資料成為企業核心資產的時代,資安不再只是技術議題,而是企業能否被信任的關鍵。Synology 群暉科技長期深耕於資料儲存與保護技術,而當研發團隊在前線專注於產品創新時,有一群人默默守護著公司內部穩定、安全運行的基礎設施,確保系統不中斷、資料不外洩及帳號不濫用,讓每項服務都能在安全的前提下持續運作 —— 他們便是資訊管理部門 (MIS)。
2025 年,在高層主管的全力支持下,MIS 團隊投入一整年的努力,取得 ISO/IEC 27001:2022 資訊安全管理系統認證。在多數企業視為挑戰的稽核過程中,Synology 憑藉著長年累積的技術偏執及資安底蘊,交出了首年導入即 「零缺失」 的成績單。
從「默契」到「制度」:什麼是 ISO/IEC 27001:2022 認證?
ISO/IEC 27001 為目前全球最廣泛認可的資訊安全管理系統(ISMS)標準。Synology 獲得認證範圍涵蓋 ISMS、核心基礎架構、安全開發生命週期(SDLC)及全球營運的安全事件應變流程。簡言之,從帳號管理、網路控制、機房維運到資安事件回應等,將所有資訊安全行為「文件化」,並成功驗證所有實務執行流程,我們都做到了「說寫一致」。
這項計畫從 2025 年初開始,由資訊安全營運經理 Yanny 與網路服務維運經理 Amon 擔任專案負責人,在不影響既有業務的前提下,自三月起引入外部顧問,逐一盤點公司資產及資安基礎設施(包含網路政策、資產維護管理、軟體開發程序、應用系統維運等),並在上半年密集訂定近 50 份正式程序書,作為全體同仁的工作行為準則,反覆進行內部稽核與調整之後,於 2025 年底正式通過外部驗證。
從個人經驗到組織制度,推動資安永續下的磨合與堅持
「撰寫文件不是紙上功夫,每份程序書都需經過反覆梳理,確保規範不只存在於文件之上,而是真正能夠在日常執行中落地。」Yanny 分享到,程序制度化往往伴隨著工作習慣的轉變。
以最日常的帳號申請為例,過去內部透過信件便能完成申請,如今則必須在系統上提出申請、經直屬主管核准,再由資訊管理部門主管確認後才能執行,每個步驟都留有紀錄。Amon 坦言初期難免有人覺得麻煩,「但 ISO 認證的核心精神是『永續經營』— 過去許多作業方式只存在於個人的腦袋裡,一旦有人離職,這些經驗就消失了。文件化之後,知識才能真正傳承下去,執行者也能在更清晰的框架下安心工作。」
為了讓新習慣真正落地,團隊意識到單靠口頭溝通與提醒並不足夠,例如過往內部巡查時,Yanny 就曾在同仁座位上,發現寫有密碼的便利貼,或是離開座位時未鎖定螢幕、裝置未受管控等,這些都是潛在的資安風險缺口。對此,團隊選擇從系統層面切入,像是建置螢幕閒置自動鎖定、統一管控裝置存取權限、以身份驗證工具取代密碼記憶等措施,將資安規範內建於每日流程當中,使改變不再依賴個人自律,而是成為工作環境的預設狀態。
厚積而薄發,深耕日常的資安底蘊築起縝密防護
不同於許多企業要從零建立制度,才能取得 ISO 認證,對 Synology 而言,更像是把長期累積的資安底蘊,以國際通用的語言詮釋出來,「 Synology 本身就是資優生,我們並不是為了通過認證才改變,而是把原本就在做的事情,用更標準化的方式表達出來。」Amon 如此形容。
舉例來說,Synology MIS 團隊早就為機房管理,設計詳細的流程。由於最初位於板橋總部的機房中心,便仰賴 MIS 團隊自行從無到有設計、建置並維運,無論是環境監控、溫濕度控制、備援機制,每個細節都由內部團隊掌握。當異常發生,不需要等待外部廠商,團隊能在第一時間直接處理,確保服務穩定不中斷。
在主動防禦上,團隊早已打造高度自動化的網路聯防機制——當系統偵測到真實的駭客攻擊,會自動封鎖攻擊來源 IP,並同步更新至 AWS 等雲端服務上的防護設定,實現跨系統即時聯防,這些都是在取得認證以前,就已經存在的工作日常。
而這次令外部 ISO 稽核員印象最深刻的,是 Synology 為少數以全自動化方式,管理軟體弱點的公司。稽核員過往接觸的案例當中,弱點修補多依賴工程師主動發現或外部通報,相當被動且難以追蹤。在導入 ISMS 框架後,MIS 團隊為了強化管理效率,建置了一套完整的弱點自動化追蹤系統:所有軟體在正式上線前,都必須通過自動化弱點掃描;一旦偵測到高風險漏洞,系統自動阻擋上版並開立追蹤項目;每日例行掃描若發現有問題,也會自動通報負責單位,確保每個弱點都有人負責、在期限內解決。
此外,為了保護開發與測試流程中的機密資料,團隊還建立資料遮罩機制,讓開發人員在測試環境中取得的資料,落地前即自動遮蔽住敏感欄位,在不影響開發效率的前提下,落實資料保護原則。
最終,憑藉對於技術的執著,Synology 於首年導入即以「零缺失」的成績通過外部稽核。對團隊而言,這不只是一次驗證,更是種對自身標準的肯定。
認證是起點,以永續資安守護每一筆託付的資料
拿到證書的那一刻不是結束,而是另一段旅程的開始。Yanny 強調,「 ISO 導入只是起點,資安管理的工作永遠沒有終點。」認證體系會要求每年持續稽核,每三年還得全面審視相關制度,確保規範不流於形式、執行不隨時間鬆懈。隨著年份推進,稽核的範疇也將持續擴大,累積的執行紀錄越多,稽核的深度也會持續加深。
更重要的是,ISMS 框架已成為團隊規劃新服務的預設思維,每當評估新的業務需求或技術架構,資安合規不再是事後補強的程序,而是從設計源頭就被納入考量的基礎條件。
Synology 每日每夜運行的基礎設施,由 MIS 團隊守護,ISO/IEC 27001 認證的取得,是向市場遞出一份實在的資安憑據,也意味著當使用者可放心將重要的營運資料,運用 Synology 解決方案留存或保護,因為背後有一套符合國際標準、持續運作的資安體系作為支撐。
資訊安全管理從來不是有終點的任務,而是必須持續實踐的責任——而這,正仰賴不可或缺的 MIS 團隊,以實力築起的堅實後盾,在往後的每一天為企業提供最穩定的動能。