Allan.2022年5月.ISMS狂想曲...
ISMS是我認識Redmine的原因,我一直想建立一套中小企業可以輕易維護及使用的ISMS作業管理平台。Redmine就是我給中小企業在管理ISMS的解答。
重新整理一下,在[ISMS管理]的部分,含本篇小結一共寫了4篇。
項次|DAY|系列文章名稱| 管理問題及主題
--|--
1|26|ISMS平台整體規劃|以實際ISMS年度專案範例示範在ISMS的應用與管理
2|27|ISMS文件管理|針對ISMS的四階文件、發行、版本變更紀錄的記載
3|28|ISMS表單紀錄的管理|從ISO27001稽核的角度,去規畫表單與紀錄的分類和管理
4|29|整理及管理分享|小結與心得分享
在ISO27001的本文中,「量測」屬於9 績效評估,其中,
組織應評估資訊安全績效及資訊安全管理系統之有效性。
組織應決定下列事項。
(a)需要監督及量測之事項,包括資訊安全過程及控制措施。
(b)監督、量測、分析及評估之適用方法,以確保有效的結果。
備考:所選擇之方法宜產生適於比較及可重製視為有效之結果。
(c)執行監督及量測之時間。
(d)監督及量測之人員。
(e)監督及量測結果應分析及評估之時間。
(f)分析及評估上述結果之人員。
組織應保存適切之文件化資訊,作為監督及量測結果的證據。
通常多數公司都會有「ISMS有效性量測表」來監控與分析ISMS的有效性。因為ISO標準有要求量測,所以多數公司的ISMS量測項目都不少,每一家公司的分類方法也不大一樣,這是一個大議題,這邊我們就不討論。
要特別提的是,既然我們選擇Redmine當作ISMS管理平台,可以更進一步思考如何利用平台的設計來管理KPI,以及統計這些KPI所需的數字來源。
這三種不同,但都是資安管理工作的重點,如何整合將決定ISMS人員的工作效率及價值:
【ISMS】:
【ISMS管理平台】:
【資安系統工具】:(範圍很大,只舉幾個常見又實用的工具系統)
【(1)ISMS、(2)ISMS管理平台、(3)資安系統工具的整合】:
資安制度是管理,資安防護是技術。
資安的「管理解」,或「技術解」? 顧問們常掛在嘴巴的!
技術解通常靠花大錢買資安防護硬體、導入資安軟體工具,非常好,代表睿智的老闆、執行長、總經理有企業的風險意識及永續經營的企圖和作為,我很樂意給個大讚,並以跟隨這麼有長遠經營眼光的經營者及管理者為榮。
可惜往往事與願違,我們多數遇到的現實是,企業資源有限,有想法不一定會有做法,所有企業一定把錢花在與訂單相關的發展上,資安軟硬體的投資會被用放大鏡來檢視必要性及效益。
所以我更務實地來思考,若部分ISMS的必要要求企業沒資源沒預算導入技術解,那所要採用的「管理解」執行方法能不能更有效率? ISMS如何真正進化成「管理」而非只是「作業」?
另外,身為一個資安管理人員,又該如何提升自己的能力到新的層次才可以從容地面對未來工作的發展趨勢及挑戰?
2022年5月的某幾天,Allan腦袋一直在這些事情上打轉,最後在筆記本上把ISMS的工作展開,擬定了這2年的學習及能力提升計畫。
除了本系列文章的Redmine及本篇稍微提到的RPA外,筆記其餘重點摘錄如下,給各位邦友參考:
以上文字,以下照片,Allan 2022年5月的狂想。然後,用iThome鐵人賽跨出第一步!
終於要走到最後一篇了。
他們是,Allan參加IT鐵人賽的陪伴,可以放輕鬆了,忍不住提早一天出來跟大家 Say Hello !
本系列文章最後一篇。明天見!