Allan．2022年5月．ISMS狂想曲...

ISMS是我認識Redmine的原因，我一直想建立一套中小企業可以輕易維護及使用的ISMS作業管理平台。Redmine就是我給中小企業在管理ISMS的解答。

ISMS管理

重新整理一下，在[ISMS管理]的部分，含本篇小結一共寫了4篇。

項次|DAY|系列文章名稱| 管理問題及主題
--|--
1|26|ISMS平台整體規劃|以實際ISMS年度專案範例示範在ISMS的應用與管理
2|27|ISMS文件管理|針對ISMS的四階文件、發行、版本變更紀錄的記載
3|28|ISMS表單紀錄的管理|從ISO27001稽核的角度，去規畫表單與紀錄的分類和管理
4|29|整理及管理分享|小結與心得分享

ISMS的KPI

在ISO27001的本文中，「量測」屬於9 績效評估，其中，

9.1 監督、量測、分析及評估

組織應評估資訊安全績效及資訊安全管理系統之有效性。
組織應決定下列事項。
(a)需要監督及量測之事項，包括資訊安全過程及控制措施。
(b)監督、量測、分析及評估之適用方法，以確保有效的結果。
備考：所選擇之方法宜產生適於比較及可重製視為有效之結果。
(c)執行監督及量測之時間。
(d)監督及量測之人員。
(e)監督及量測結果應分析及評估之時間。
(f)分析及評估上述結果之人員。
組織應保存適切之文件化資訊，作為監督及量測結果的證據。

通常多數公司都會有「ISMS有效性量測表」來監控與分析ISMS的有效性。因為ISO標準有要求量測，所以多數公司的ISMS量測項目都不少，每一家公司的分類方法也不大一樣，這是一個大議題，這邊我們就不討論。

要特別提的是，既然我們選擇Redmine當作ISMS管理平台，可以更進一步思考如何利用平台的設計來管理KPI，以及統計這些KPI所需的數字來源。

下一步：整合ISMS、ISMS管理平台、資安系統工具

這三種不同，但都是資安管理工作的重點，如何整合將決定ISMS人員的工作效率及價值：

• 【ISMS】：

  • 資訊安全管理系統，指的是管理制度的建立。
  • 白話說，就是ISMS建立的四階文件，政策、程序書、SOP及管理表單

• 【ISMS管理平台】：

  • 協助ISMS的作業的系統工具方法。
  • 你可以用很多工具方法去建立，本系列文章採用Redmine是一個經實際運作後適 合中小企業且可以當ISMS文管中心還不錯的管理平台，重點這是開源軟體可以合法免費應用。
  • 企業如果有導入BPM(電子簽核系統)將ISMS管理表單納入設計及管理是最理想，將ISMS整合在企業主流的系統工具中。
  • 有資源的企業當然可以用更Powerful的工具，再跟資安系統工具整合，更棒!

• 【資安系統工具】：(範圍很大，只舉幾個常見又實用的工具系統)

  • 資產管理系統：管理端點設備安裝的系統，USB的使用管制等。
  • 機房環控系統：監控機房網路、溫溼度、UPS、電力等，有狀況並即時回報
  • 監視系統：監控安全區域的進出，並可事後調閱資料，目前稽核主流都會建議保留6個月備查。
  • 網路流量監控：偵測及分析網路流量
  • 容量管理：針對各主機、虛擬主機的CPU、RAM、儲存空間進行即時監控，且可設定閥值發布警訊給管理者。
  • 日誌蒐集、備份及管理：蒐集各系統Even logs，且有異常自動發出通知給管理者
  • 其他：資安檢測工具，弱點掃描、源碼檢測、滲透測試等(不一定要有，可委請資安公司定期檢測提供報告)

• 【(1)ISMS、(2)ISMS管理平台、(3)資安系統工具的整合】：

  • 只有(1)沒有(2)(3)，那注定ISMS就是文件表單簽核工作，資安管理就是用石器時代的方法，用查檢表靠人在管控而已。
  • 看完本系列文章你有了(1)也)建構了(2)，但(3)的自動化投入不足，那只是把紙本作業變成線上作業。雖然ISMS作業管理的效率好很多，但資安最重要的監控肯定事倍功半。
  • 只有把(3)的工具導入，無論是導入商業軟體，或老闆不給預算只能先用自由軟體頂著，還是要把資安系統自動化工具導入，(1)+(2)+(3)才算完整。

更進一步：作業流程自動化

• 近幾年談很多，就是應用RPA(Robotic Process Automation，中文稱為機器人流程自動化)
• 所謂RPA是一種資訊工具，能夠模擬人在電腦上操作不同系統的行為，就像是真實的員工坐在辦公室電腦面前操控應用系統進行工作處理。
• 由於RPA工具的特性，非常適合進行高重複性、標準化、規格明確、大批量的日常事務工作，筆者個人覺得ISMS有很多可以運用，可以減少ISMS一些重複謝的工作。
• 從作業效率來辦，RPA一定是值得投入的IT應用。

純屬個人幻想：Allan的私人思考-關於ISMS的進化

資安制度是管理，資安防護是技術。

資安的「管理解」，或「技術解」? 顧問們常掛在嘴巴的!

技術解通常靠花大錢買資安防護硬體、導入資安軟體工具，非常好，代表睿智的老闆、執行長、總經理有企業的風險意識及永續經營的企圖和作為，我很樂意給個大讚，並以跟隨這麼有長遠經營眼光的經營者及管理者為榮。

可惜往往事與願違，我們多數遇到的現實是，企業資源有限，有想法不一定會有做法，所有企業一定把錢花在與訂單相關的發展上，資安軟硬體的投資會被用放大鏡來檢視必要性及效益。

所以我更務實地來思考，若部分ISMS的必要要求企業沒資源沒預算導入技術解，那所要採用的「管理解」執行方法能不能更有效率? ISMS如何真正進化成「管理」而非只是「作業」?

另外，身為一個資安管理人員，又該如何提升自己的能力到新的層次才可以從容地面對未來工作的發展趨勢及挑戰?

2022年5月的某幾天，Allan腦袋一直在這些事情上打轉，最後在筆記本上把ISMS的工作展開，擬定了這2年的學習及能力提升計畫。

除了本系列文章的Redmine及本篇稍微提到的RPA外，筆記其餘重點摘錄如下，給各位邦友參考：

• Python：用爬蟲的技術設計應用在合規(法律及產業標準)及內外部議題的蒐集。
• Python：設計ISMS創新應用，是甚麼? 因為是創新所以我也還沒清楚輪廓耶。也許是流程的改善，也許是創意的資安監控工具，也許是一個整合的設計。
• AWS：想像有一天IT服務企業全雲端，不需要再維護機房，專注在核心業務，有沒有可能是一個趨勢?所以密切了解一下雲端服務的發展和應用，以及思考企業可能的應用!
• Power BI：ISMS有效性量測那些KPI數字，如何自動化呈現?如何圖形化呈現?如何整合所有來源(包含ISMS的Redmine紀錄)自動更新、立即呈現、即時風險警訊?

以上文字，以下照片，Allan 2022年5月的狂想。然後，用iThome鐵人賽跨出第一步!

明天，最後一篇

終於要走到最後一篇了。

他們是，Allan參加IT鐵人賽的陪伴，可以放輕鬆了，忍不住提早一天出來跟大家 Say Hello !

本系列文章最後一篇。明天見!