iT邦幫忙

2021 iThome 鐵人賽

0
Security

資訊安全制度建立與驗證系列 第 37

[Q&A] 07 ISMS程序書是誰的功課?

資訊安全管理制度運行過程中,會對即有的企業或機構文化帶來一定的衝擊。

顧問領進門,修行在個人,當主管的位子夠高、夠不尊敬顧問……累積下來的黑評夠厚也是會被紀錄下來的。

當顧問提供了範本、教學、也一次次的在會議前後空擋討論、調整……此時企業或機構不想努力了(不學、不作功課),可以選擇放棄國際資格認證,或者由顧問及稽核員審查在不考慮費用的前提下,不限次數的請外稽審查、矯正、再審查...直到通過為止。

如果發生了下圖模擬情境,表示執行人員及主管完全不在狀況內,企業或機構內部授權機制並沒有上達下效,建議方案如下:

熱血資安人版本:找顧問另約專案進度討論會議(請顧問出馬講解、釐清問題)會後每項行動壓上 Due Data ,請執行人主管協調部門資源,確保專案執行人可如期完成階段性目標。

佛系資安人版本:不檢討專案進度、不追專案必要文件、也不要求專案執行品質,時間到了自然就會取得 ISO 27001 國際認證。

https://ithelp.ithome.com.tw/upload/images/20211007/201073985NoJnp2Cxh.png


PS:

  1. 市面上有部份資安顧問服務,號稱可幫客戶代寫程序書的服務,但…說寫做一致的審查對象是客戶,最終制度的維運也是客戶自已。
  2. 企業的求生慾與資安制度落實完成度成正比,不想努力的時侯其實可以考慮躺平(放棄)。

上一篇
[Q&A] 06 風險評鑑報告生出來前的修修改改
下一篇
[Q&A] 08 補完一個漏洞還有謎個漏洞
系列文
資訊安全制度建立與驗證40

尚未有邦友留言

立即登入留言