筆者從跨入資安管理的第一天,到現在這份工作,中間大概換了不下五間公司以上吧(菸)。最妙的是,每次換公司,明明一開始沒在工作職掌裡註明的工作--讓公司通過ISO 27001驗證,最後一定會出現在工作清單中!所以在筆者手上親自參與的ISO驗證專案,領到的證書不下四張,另外還有協助一些公司導入ISO管理制度但是沒有參與驗證的更是十根手指頭數不完。
然而,這些大大小小的組織,其實一開始最先遇到的問題,不是做ISO要花多少錢,大部分都卡在要不要做ISO驗證這件事上。所以如果你跟我一樣,碰到老闆叫你評估,公司到底要不要驗證ISO 27001,我會這樣建議你這樣思考:
1.老闆到底從哪聽來這個名詞的?他對ISO 27001知道多少。
2.衡量公司目前的營運現況需求。
3.衡量公司目前的資安管理現況。
4.衡量自己的工作內容。
第1點是所謂的知己知彼,免得你到時候唬弄他的時候被拆穿。
第2點是做驗證之後,對公司的幫助是什麼,這要替老闆想一下,畢竟花錢總得要有些效益才行。不論是為了遵守法規或主管機關的要求(被動因素),還是有助公司拿到訂單或增加客戶信任度(主動因素)。
第3點是想一想現在公司的資安管理,從政策、人員組織、設備技術這三方面是否備齊?當然通常答案都是no啦,不然找你導入資安管理標準是要幹啥。
第4點當然就是人不為己天誅地滅的思考點(誤)。如果你已經忙得比狗都還不如,再做一個驗證加上導入國際管理標準的專案,你大概不是要準備行軍床,就是把104打開吧。
PS:筆者之前有透過SWOT方式幫某公司分析到底做ISO 27001驗證對公司有什麼影響,因不便公開,想進一步參考的朋友,歡迎在下方留言,我再進一步透過站內訊息與您分享。