iT邦幫忙

0

ISO 27001 資訊安全管理系統 【解析】(三)

  • 分享至 

  • xImage
  •  

參、 管理系統概述
品質管理系統應該是所有管理系統的基礎,ISO/TC 176在制訂品質管理系統的標準時,訂定了七大原則(改版前稱為八大定理),這七大原則可以應用在與品質管理相關的所有管理系統,而資訊安全管理系統當然屬於品質管理的一環。在運用這項標準時可以配合七大原則,使標準不只是一種規範,更能在原則下了解相關標準要求的合理性,原則如下:
一、 客戶導向
管理的重點在於滿足客戶的要求,並為超出客戶要求而努力,可以採取的行動如後:
• 將直接和間接客戶識別為利害關係者
• 了解客戶當前和未來對於資訊安全的需求和期望
• 連結組織的目標與客戶的需求和期望、溝通及傳達客戶的需求和期望
• 在考量客戶需求和期望下,規劃、設計、開發、生產、交付
• 監控與審查客戶滿意度並採取適當的行動
• 積極管理與客戶的資訊安全關係,以獲得持續性的成功
二、 領導統御
各級領導者建立統一的目標、方向和人員參與,使組織能夠調整其策略、政策、流程和資源,並創造條件,使參與的人能共同實現組織的資訊安全目標。在此所敘述的領導統御並不僅指最高領導者,而是整個組織內架構的領導統御,每一階層都要發揮其應有功能,且對資訊安全做出相對應的貢獻,可以採取的行動如後:
• 在整個組織內傳達組織的使命、願景、策略、政策和流程。
• 為組織各級別的行為創建並維持共同的價值觀、公平和道德架構。
• 建立信任和誠信的文化。
• 鼓勵組織在範圍內對資訊安全的承諾。
• 確保各級領導者都是組織中員工勇於任事的楷模。
• 為人員提供所需的資源、培訓和權力,以負責任的態度執行工作。
• 激發、鼓勵和認可人員的貢獻。
三、 全員參與
各個階層領導者應鼓勵所屬人員參與有關資訊安全的事務,資訊安全管理系統是所有人的議題,並非只專屬於資訊部門,這一點通常是所有推行資訊安全管理的組織最傷腦筋的地方,可以採取的行動如後:
• 溝通所有人員,理解資訊安全的重要性。
• 促進整個組織資訊安全的協同及合作。
• 促進公開討論、共享知識與經驗。
• 評估並確認人員對資訊安全的貢獻、學習和進步。
• 進行調查以評估人員對資訊安全的滿意度,傳達結果並採取適當的控制措施。
四、 過程導向
如果將各項控制措施理解為相互關聯的過程並作為一個連貫的管理系統來進行管理,這樣就可以更有效地獲得一致且可預測的結果。資訊安全管理系統由相互關聯的過程組成,了解每一個關聯性可使組織優化管理系統及其效能,可以採取的行動如後:
• 定義系統目標和實現這些目標所需的過程。
• 建立管理流程的權限、責任和歸責性。
• 了解組織的能力並在採取行動之前確定可運用的資源。
• 將流程及其相互關係作為一個系統進行管理,有效實現組織的資訊安全目標。
• 確保有必要的資訊可用於操作和改進流程以及監視、分析和評估整個系統的效能。
• 管理可能影響過程輸出和資訊安全管理系統整體結果的風險。
五、 持續改善
成功的組織不會滿足於現狀,而是對內外部的變化確保能隨時創造機會,整體管理系統能獲得改善,可以採取的行動如後:
• 在組織的各個階層及部門建立持續改善的目標。
• 對各階層的人員進行教育訓練,使他們了解如何應用基本工具和方法來實現持續改善的目標。
• 確保人員有能力成功推動和完成持續改善。
• 開發和部署相關的流程在整個組織中實施持續改善。
• 追蹤、審查和確認持續改善的計劃、實施、完成和結果。
• 將改進的考慮因素整合到新的或修改的資訊系統和流程的開發中。
• 察覺並認可持續改善的成效。
六、 事實決策
決策是一個複雜的過程,並且涉及不確定性、多種型態、輸入來源以及對它們的解釋,這可能會是主觀的意識,所以深入了解因果關係和潛在的意外後果非常重要,基於資料內容和資訊特性分析和評估,比較有可能產生預期的結果後執行決策,根據事實、證據和資料分析可提高決策的客觀性和信心,可以採取的行動如後:
• 確認、監控與審查關鍵指標以展示組織資訊安全績效。
• 將所有資訊提供給需要的人員。
• 確保資料和資訊足夠準確、可靠和安全。
• 使用適當的方法分析和評估資料和資訊。
• 確保人員有能力根據需要分析和評估資料。
• 根據經驗和直覺來做出決定並採取行動。
七、 關係管理
為了獲得持續的成功,組織需要管理與利害關係者(例如供應商),因其會影響組織的績效;當組織管理與所有利害關係者的關係以優化其對績效的影響時,更有可能獲得持續的成功,與供應商和合作夥伴等供應鏈的關係管理尤為重要,可以採取的行動如後:
• 確定相關的利害關係者(例如:供應商、合作夥伴、客戶、投資者、員工和整個社會)及其與組織的關係。
• 確定需要管理的利害關係者之關係並確定其優先等級。
• 建立平衡短期利益和長期考慮因素的關係。
• 與有關各方共享資訊、專業知識和資源。
• 衡量績效並適時向相關單位提供績效反饋,以改進持續改善計劃。
• 與供應商、合作夥伴和其他利害關係者建立協作式開發和持續改善活動。
• 鼓勵並認可供應商和合作夥伴的持續改善和成就。
https://ithelp.ithome.com.tw/upload/images/20220211/20145763cFdtV8vzFq.png
前述七項原則,在之後的條文中會不斷出現相關的應用。剛開始接觸有關ISO條文的時候,心中總是有所疑惑,條文為何要這樣寫?這些需求到底是如何被ISO組織所討論及制定認可?管理學上有沒有一種邏輯性或是理論基礎?回顧以前學習的過程,曾經閱讀一本書:「從A到A+」,此書是美國Jim Collins所寫,他研究美國上千家的公司,找到其中他認為從好到卓越且持續不斷成長的公司,並分析這些卓越公司成功的原因。當然在當年他認為卓越的公司有些已經倒閉,但是在他的研究下找到了組織管理制度上進步的因素,所以在管理面是沒有公式或必成之路的,而是歸納前人的經驗,經驗與運氣會是管理成功的可能因素,前面ISO所敘述的七大原則應用在管理上也可以提高成功的機率。在A到A+的書中,作者認為組織的成長像一個飛輪,飛輪是連接引擎與變速箱的地方,最重要的功能是儲存動能及延緩慣性,但是驅動飛輪的有幾個重要的因素:第五級領導人、先找到對的人再做對的事、紀律的文化、刺蝟原則、科技做為加速器,在這些因素都完備下,組織就能飛快地成長。在許多組織內都具備有相當的成功因素,從這些成功因素及組織成長的過程中,可以知道ISO管理系統的條文是分析了許多組織的經驗,並匯集專家學者的意見,例如:第五章的領導統御就與第五級領導人息息相關,同樣地在敘述組織的領導藝術與風格,所以在這樣的架構下推行管理這件事,會更有效能,這樣就不會覺得ISO為什麼要寫這些條文來為難大家,因為它真的是有意義的,在簡單的敘述背後代表的是管理學的精神,而非硬生生的條文,在後面條文介紹時就可以發現。


圖片
  直播研討會
圖片
{{ item.channelVendor }} {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中

尚未有邦友留言

立即登入留言