蠻多公家機關有導入ISMS，有些私人企業也有導入，如果專案有相關的PM應該不陌生。

ISMS是「資訊安全管理系統（Information Security Management System）」的縮寫，目前國際標準最新版時ISO 27002:2022。

ISMS運用「PDCA循環」概念來持續管理資訊安全。PDCA代表：
Plan：制定規範
Do：實際執行Plan
Check：評估Do執行結果與Pan制定規範是否相符
Action/Adjust：Check結果有落差時做出改善
以上機制不斷的調整改善，以系統性的方法來防護、監控資訊安全系統。

換言之，如果PM負責的系統需要導入ISMS，雖說資安專家和工程師必須參與出力，考量到PM對系統各方面都是最熟悉的角色，導入ISMS往往成為PM專案中的任務之一。
尤其是「資安稽核」的時候，PM因為溝通管理的能力較好，可能是團隊最適合回答稽核員問題的角色。

資安稽核在做什麼

依照國際規範，不同資安等級的系統每年需要接受的稽核內容、頻率等都有差異。
常見的會是每年至少稽核一輪，稽核前需更新大量文件，接著接受內部稽核，多的話還會有外部稽核。
簡單來說大概是「制定規範標準、準備文件和調整系統、接受檢查、不符合規範就調整等下次繼續檢查」。
詳細資安稽核說明，蠻推薦沒概念的PM去「臺北E大」看2門線上課程，內容蠻詳細的，導入ISMS的概念、實務執行事件、利害關係人等都敘述清晰：
1.資安稽核實務
2.資通安全系統防護基準稽核與履約管理

四階文件

所謂「四階文件」是調整系統資安機制與接受稽核的「規範來源」。
「系統的資安標準」與「資安稽核答覆內容」全都圍繞著「四階文件」這個法源：
一階【政策】資安規範的大原則、防護目標範疇等
二階【程序】為達到一階文件目標，組織內各項管理作業的流程及其權責說明
三階【辦法】描述管理工作細節及標準
四階【表單】執行資安規範作業時填寫記錄所使用的文件格式
可以說PM熟悉「四階文件」是接受稽核的基本條件，不熟悉時亂回答很容易挖坑給自己的系統跳，嚴重者可能被判定不合格拿不到ISMS認證。
ISMS認證過程需要聘請資安顧問，第三方發證的稽核員又是另一批專家，導入ISMS失敗不僅浪費錢，廠商甚至可能會影響到商譽。

系統實況

有了規範資安標準的「四階文件」，系統的功能、機制都需要依照該標準設計調整。
PM熟悉「四階文件」之後，需要接著熟悉PM力所能及範圍內的對應系統狀況。
撇除PM無法開啟AP、DB等介面，應用系統登入流程、操作功能、需求變更行政流程等，都是PM需熟記的內容，也是稽核員常問的基本題。
文件規範vs系統狀況必須對得上，系統設計對不上、低於文件標準，被稽核員查到就有被判定「不符合」可能拿不到ISMS認證的風險。

三年來的資安稽核心得

最佳的資安稽核回答人選順序應該是「客戶＞PM＞工程師」。
客戶導入ISMS，有時無奈客戶只懂業務不懂系統資訊，PM此時非常重要。
團隊的工程師在旁輔助開啟AP、DB相關介面，必須非常小心不讓工程師太過「誠實」回答。
突然導入最新的資安規範，對於已經運行好多年的系統而言是措手不及的，很多底層架構的更新汰換都需要時間，這部分在回答稽核員時需要多加小心。若是被判定必須立刻儘快馬上改善，偏偏一堆EOL只支援Windows Server 2003平台的套件工具在運行，客戶不一定有預算、即使有預算也必須經歷長久的痛苦移轉過程，只能用惡夢兩個字來形容。
配合ISMS導入時，PM必須皮繃緊多花些時間，即使不願意也都會被捲入寫相關文件、協調問題等等，莫名就被迫技能解鎖了呢。