第七章 支援
本章節所敘述的內容都是支持一個資訊管理系統運作的事項，在第五章我們獲得高階領導者的支持，建立資訊安全相關的組織，現在我們需要將管理系統實際運作起來，這就是本章所要敘述的重點。
一、 資源
前面曾經提到資訊安全管理系統所需要的資源是資金、人員、時間、資訊安全知識、設備及場地，所以組織必須事先衡量資訊安全管理系統及其相關活動所需資源的數量及品質，設法獲得這些所需的資源(例如：聘請資通安全專業人員)，持續提供資源並在與資訊安全管理系統相關的流程或活動中維持這些資源，最後審查資源的適切性，並考量是否需要新的資源。以適用資通安全管理法的機構來看，目前按照法令規範各級機關應指派資安專職(責)人員，需要強調的是主管機關已經開始要求各組織投入資訊安全預算佔整體預算及資訊預算的比例，所以在資源投入方面應該要有審查機制，以確認符合法令要求。就一般企業而言，前面已經有敘述ISO 27001是以風險管理的概念執行管理系統，所以就組織能夠承擔的風險訂定管控措施。請留意執行管控措施是需要資源的，所以以最有效益的資源達到組織自己所能接受的風險，這才是資源管理的意義，資源管理流程如下圖：

二、 人員能力
人員能力代表有足夠的知識與技能達成所預期的結果，包含經驗、知識及智慧等因素，一般區分兩種，通用：軟性因素、可信賴度、基本的技術及管理；特殊：特別領域知識，例如：風險管理。獲得高階能力的方式有參加研討會、課程或實作練習等。如果組織本身沒有具備能力的員工，也可以委外或僱用有能力之人員，端看組織對於此項能力的需求，如果是短暫性的，可以短期聘請有能力的人員。組織對於人員能力管理可以依循下列步驟：
(一) 依照資訊安全管理系統內的運作實務，決定哪些人員需要具備何種能力，並將其敘述於工作職掌內。
(二) 計畫並執行相關作為，使得資訊安全管理系統內相關人員都能夠具備所需的能力，例如：透過訓練、指導、重新分配職務等作法。
(三) 聘用有能力的人員。
(四) 量測前述作為的有效性，例如訓練成績、確認新進員工符合能力要求。
(五) 確認人員符合他們的職務(能力要求)。
(六) 隨著時間及情況的變化，調整人員所需的能力(新的技術、新的工具等)。