如何滿足資安的11項領域中的各項規範? 首先要建立制度, 透過制度的建立與遵行來實現組織與管理階層對資訊安全的期待.
資訊安全管理制度的文件是有階層的, 分為下列四階文件
第一階:定義實施範圍與資訊安全政策
第二階:各項工作所處理的人、事、物、時間、地點
第三階:描述任務或特定活動如何完成
第四階:提供符合資安管理制度所規範/要求的執行證據
誠如上一篇所言, 現代企業的活動無不仰賴資訊科技來進行, 因此資訊安全管理制度不只是規範資訊部而已, 而是企業全體員工, 甚至擴及到外部的合作夥伴與廠商.
而建立制度只是一個開始, 如何確保制度的遂行又是另一項大挑戰, 因此稽核在整個制度中的角色自然不言而喻.