回顧一下昨天說的4個思考方向:
1.老闆到底從哪聽來這個名詞的?他對ISO 27001知道多少。
2.衡量公司目前的營運現況需求。
3.衡量公司目前的資安管理現況。
4.衡量自己的工作內容。
首先,自己必須要先下功夫,去了解ISO 27001到底是什麼東西。由於Google大神的興起,這部分相信你只要花點時間查一查即可。懶人包的部分筆者應該也會整理在後面的文章裡,如果我有繼續寫下去的話,哈~~
反正,你絕對不可以比你老闆還不懂這個標準到底在幹什麼。當然,你也可以花點錢(不論是你公司出或者是自己出),去外面上個ISO 27001的課程,這樣可以取得相關知識,還可以順便拿一張證照,也是不錯的方案。
既然老闆把公司是否要做驗證的評估交到手上,其實通常就是要做了,只是老闆想知道要花多少錢,要花大家多少時間。由於筆者個人一向都是正面積極看待交付的任務,所以在寫評估報告時,大部分會把優點寫得多一點。例如做ISO驗證內部可以提升公司的資安管理水平、強化同仁資安防護意識、降低資安風險;對外可以滿足法規部分要求(個資法、營業秘密法、GDPR....)、利害關係人如上游廠商業主的要求、客戶的信任度等,都是做驗證的過程中與結果"可能"可以達成的。
但是審視貴公司目前的資安管理狀況,包含內部典章制度、員工意識、技術設備等,這就是評估驗證專案所需要資源的關鍵要素。一間資安管理百廢待舉的狀態,跟一間水到渠成的公司,在驗證的難易度上真的會是天差地遠的困難?
其實不然。因為ISO 27001跟其他ISO標準的驗證上,有一個很大的不同點。就是驗證範圍的選定。
大部分國際標準的驗證,都是以全公司的活動做為檢驗範圍,ISO 27001是可以自己決定的!
也就是說,一間公司宣稱自己通過ISO 27001驗證,也許只是將公司100個系統裡,取一個文管系統當作驗證範圍。另一間公司,可能就真的是全公司導入。這種"有彈性"的驗證,造就台灣大大小小公司成功通過驗證的奇蹟~~