MIS與ISMS二家親

ISMS是我和Redmine結緣的原因。

我有在一家公司小規模實際執行過。用Redmine建立ISMS之後，我就一直想找有興趣的人分享，後來看到IT鐵人賽的召集令的宣傳廣告，心上動念，就在Keyboard打了第一個標題，我來了。

所以ISMS算牽線的紅娘吧!

本篇預期成果畫面

管理議題：

以資安業務來說，通常分為以下七大類：
(這是筆者自己的經驗分類，不是哪本教科書或哪家顧問公司的標準)

• (一)ISMS：ISMS的資安管理系統業務，多數公司都是依照ISO27001的PDCA去設計工作，從關注者的議題調查，到資產盤風險評鑑等實作，到內部稽核、管理審查等每年固定必須執行的資安管理系統要求的工作。
• (二)ISO27001：指的是第三方的驗證申請和驗證稽核。
• (三)教育訓練：年度的資安宣導，以及給IT、資安人員上的資安專業課程安排
• (四)BCP：營運持續演練的年度計畫實施
• (五)User資安檢查：User端的電腦資安檢查
• (六)健檢弱掃：就是資安檢測作業，以及相關弱點修補作業
• (七)資安改善：列的年度資安改善計畫。可能是導入新系統加強資安防衛，或改善系統的效率使其更安全。

範例公司資安年度計畫

以下舉一個範例公司的例子，並擬定各類工作的預計日期：

• 此範為筆者依據多年的ISMS顧問輔導經驗，模擬一家規模約300人左右的製造業、MIS約10人、ISMS專責人員1位，且公司願意投資資安改善的中型製造業。
• 模擬企業，若有雷同存屬巧合(其實ISMS每家顧問的年度計劃都差不多，因為都是顧問公司教的，差別可能只有資安改善那一列的多寡和不同)

【年度資安計畫】

• (一)ISMS
  • 2022/08：關注方議題蒐集
  • 2022/09-10：ISMS程序檢討及修訂
  • 2022/10：召開資安委員會，報告ISMS實施狀況
  • 2022/11：一般使用者帳號權限審查作業
  • 2022/11：特權帳號審查作業
  • 2022/11-12：資訊資產盤點
  • 2022/12：風險評鑑作業
  • 2022/12：風險評鑑報告及風險處理計畫
  • 2023/01：資安實施狀況管理紀錄檢核
  • 2023/01：ISMS有效性量測(年度KPI)
  • 2023/01：內部稽核計畫發出
  • 2023/01：資安實施狀況管理紀錄檢核
  • 2023/02：ISMS內部稽核
  • 2023/02：管審報告及外部稽核準備
  • 2023/03：管理審查
• (二)ISO27001
  • 2022/10：跟驗證公司提出驗證申請或複查申請
  • 2023/03：SGS驗證稽核
• (三)教育訓練
  • 2022/04：資訊人員專業課程教育訓練(1/2)
  • 2022/05：資訊人員專業課程教育訓練(2/2)
  • 2022/06：一般員工資安宣導(上半年)
  • 2022/12：一般員工資安宣導(下半年)
• (四)BCP
  • 2022/05：營運持續演練(上半年)
  • 2022/10：營運持續演練(下半年)
• (五)User資安檢查
  • 2022/06：個人電腦防護檢查(上半年)
  • 2022/10：個人電腦防護檢查(下半年)
• (六)健檢弱掃
  • 2022/06：OT資安健診
  • 2022/07：系統弱掃
  • 2022/07：網站弱掃
  • 2022/08：滲透弱掃
  • 2022/07-08：系統弱點處理
  • 2022/09：複掃及報告產出
• (七)資安改善
  • 2022/01-04：SFTP建置
  • 2022/04-05：WSUS建置
  • 2022/04-09：Mail Server改善計畫
  • 2022/04-05：XX客戶資安要求改善計畫
  • 2022/04-05：SEMI E187因應計畫
  • 2022/03-05：OTP第一個IT內部應用完成(多因子認證)
  • 2022/06-07：OPT VNP應用完成 (多因子認證)

管理資訊需求

• 【議題名稱】：資安年度工作計畫
• 【權限需求】：資安長、MIS群組
• 【適用場合】：ISMS整年度預計實施計畫
• 【追蹤標籤】：
  • ISMS
  • ISO27001
  • 資安改善
  • 教育訓練
  • BCP
  • User資安檢查
  • 健檢弱掃
• 【欄位需求】：
  • 使用系統標準欄位

專案設定

• [設定]/[專案]-[公開]：請不勾選
• [設定]/[成員]：請指定成員 (資安長+MIS群組)

資安工作計畫管理

• 完成專案設定，並將計畫逐筆輸入，並指定每項工作負責人。
• 指定完負責人送出後，[被分配者]和[監派員]會收到mail通知
• 此時[狀態]都是"新建"，屬於計畫【規劃階段】，要等負責人員開始更新資訊後，由PM針對資訊的正確性及即時性進行監督
  (圖1、2、3、4)

• 負責人([被分配者])陸續更新資訊後，進入【監控階段】(圖05、06)

資安工作甘特圖

• 新建的資安工作甘特圖
• 剛完成設定，所有的計劃都還沒變更，狀態都在「新建」，初期建立的甘特圖如下：
  (圖07)

• 專案進行中的資安工作甘特圖
  • 刪除線：已完成
  • 紅色：逾期囉 (包含當天已過了[完成日期]但進度還未100%，或今天已過了[開始日期，但進度為0%或不符[完成百分比]的日期]) (圖08)
    

資安行事曆

• 利用Redmine的日曆功能，很輕易地就產生非常有管理效用的資安行事曆
  (圖09、10、11)

ISMS不需要專案及管理工具?

這是我在業界常聽到的說法，無論是甲方(輔導的顧問公司)或乙方(企業的ISMS承辦)。

我每次都想問：你們用Excel做專案計畫時程不就是專案管理的一部分?

後來我逐漸理解，大部分人說的是ISMS通常只有一位承辦，一個顧問，二個人用Mail、Excel及Line溝通就好。好吧，我承認，我是常掛在嘴上的，只要能達成目的，就是一個好管理。

不過弔詭的是，我又常常聽到客戶(甲方)要求要「資安行事曆」、要ISO27001驗證必要的「表單紀錄」追蹤進度狀態。又常在顧問公司(乙方)聽到輔導執行一半換了顧問才知道一堆該有的紀錄產出客戶都沒做；某個案子驗收完了公司的專案資料夾找不到輔導過程的文件和紀錄。

• 甲方的管理

  • ISMS沒有承辦人員離職異動的風險?
  • 沒有主管需要隨時知道ISMS要求的年度計畫執行狀況?
  • 我每次在中小企業，尤其那些公司人數只有10人又被要求要認證ISO27001的小型SI或軟體公司，我都納悶，這種這麼小的公司雜事多，不是更需要用便利的管理工具來管理ISMS?就算只是為了每年通過驗證小公司不是更不該依賴一個隨時會去大公司的小助理?

• 乙方(顧問公司)的管理

  • 你真的是只想用一個顧問一個案子從頭到尾一個人負責，只要能結案收到錢就好，不需要把輔導過程的文件整理成公司的資產以做為承接下個案子的知識及人員交接的客戶資料?
  • 如果需要，那為什麼不按照專案結束階段的要求，有一個專案結案標準程序，設計一個結束專案需要完成的check list審查才算結案?
  • 只依賴Excel當成與客戶的專案工具，顧問公司都有沒有想過要如何有效地監控執行顧問的輔導品質及進度的掌控?還是ISMS的顧問輔導就是依賴顧問的專業去執行，不需要有任何監控活動?

好啦，只是我的碎碎念，你可以不認同，就繼續用你的Excel。

沒有這些碎碎念就根本不會有這篇分享文，也不會有Allan參加IT鐵人賽的自虐行為。

明天預告

ISMS管理：redmine在ISMS的應用

• ISMS文管中心