資訊安全必備的ISO27001

最近公司有接到一個新客戶，他們是電商網站，已經有自己的網站，不過覺得網站有點跟不上時代，所以想請我們重新改造一下他們的網站，因此這陣子PM和我常常和他們在需求訪談，在需求訪談中，他們也常常和我們分享他們的一些經營狀況，還有一些經營方式，算是讓我在UI/UX工作之中，還能碰到一點跟我八竿子打不著的東西，其實也是蠻別的啦！

之前我們就有接過幾個案子，因為是購物網站，所以電商金流和電商物流可以說是必備品，而工程師這端就需要看客戶的金流、物流供應商是怎麼樣的系統，就需要進行串接，這個客戶跟我們說，他們的購物方式是，他們自己有一套庫存管理系統，並且串接ERP來管理訂單，而訂單系統又可以串接到第三方物流公司，也就是說當消費者於網站上進行購物時，除了他們自己會收到這個訂單之外，物流公司也會收到這個訂單通知，他們會將貨物放在物流公司的倉儲進行管理，當物流公司收到訂單通知時，物流公司就可以直接進行出貨，因此就節省了出貨商要再跟物流溝通的這一段時間及人力成本，因此這的確是一些大型企業會選擇的方式之一。

另外他們也提到關於公司認證的事情，以我們來說，比較相關的大概就是資訊安全的認證吧！除了資訊安全之外，當然也有其他的安全認證，像是很常見的食品安全、環境安全，甚至還有公司管理認證喔！這個我倒真的沒聽說。

以資訊安全來說，就以ISO27001最常見，ISO27001是一個信息安全管理體系（ISMS）標準。它於2013年10月1日由國際標準化組織（ISO）和國際電工委員會（IEC）發布。ISMS是一種管理公司敏感訊息的系統性方法，使它保持安全不備侵害，包括了應用風險管理過程，包括人員、流程和IT系統。作為資訊安全管理的國際標準，ISO27001被各組織企業用來保持資訊資產的安全。ISO27001以 "計劃--執行--檢查--行動"（PDCA）循環為基礎，並且可供任何組織使用，無論其規模或類型如何。

有時候覺得跟客戶討論時，他們都常常會分享他們公司的一些企業文化跟經營方式，我是覺得蠻酷的，算是可以短暫把自己抽離網站設計一塊的小確幸了，而且有時候客戶分享的東西真的蠻有趣的，我覺得也是這個工作蠻不錯的地方～