iT邦幫忙

2023 iThome 鐵人賽

DAY 19
0
IT管理

轉職PM在IT業的生存之道系列 第 19

PM在資安時代被迫成長出的ISMS技能樹:資安稽核

  • 分享至 

  • xImage
  •  

蠻多公家機關有導入ISMS,有些私人企業也有導入,如果專案有相關的PM應該不陌生。

ISMS是「資訊安全管理系統(Information Security Management System)」的縮寫,目前國際標準最新版時ISO 27002:2022。

ISMS運用「PDCA循環」概念來持續管理資訊安全。PDCA代表:
Plan:制定規範
Do:實際執行Plan
Check:評估Do執行結果與Pan制定規範是否相符
Action/Adjust:Check結果有落差時做出改善
以上機制不斷的調整改善,以系統性的方法來防護、監控資訊安全系統。

換言之,如果PM負責的系統需要導入ISMS,雖說資安專家和工程師必須參與出力,考量到PM對系統各方面都是最熟悉的角色,導入ISMS往往成為PM專案中的任務之一。
尤其是「資安稽核」的時候,PM因為溝通管理的能力較好,可能是團隊最適合回答稽核員問題的角色。

資安稽核在做什麼

依照國際規範,不同資安等級的系統每年需要接受的稽核內容、頻率等都有差異。
常見的會是每年至少稽核一輪,稽核前需更新大量文件,接著接受內部稽核,多的話還會有外部稽核。
簡單來說大概是「制定規範標準、準備文件和調整系統、接受檢查、不符合規範就調整等下次繼續檢查」。
詳細資安稽核說明,蠻推薦沒概念的PM去「臺北E大」看2門線上課程,內容蠻詳細的,導入ISMS的概念、實務執行事件、利害關係人等都敘述清晰:
1.資安稽核實務
2.資通安全系統防護基準稽核與履約管理
D19示意圖.jpg

四階文件

所謂「四階文件」是調整系統資安機制與接受稽核的「規範來源」。
「系統的資安標準」與「資安稽核答覆內容」全都圍繞著「四階文件」這個法源:
一階【政策】資安規範的大原則、防護目標範疇等
二階【程序】為達到一階文件目標,組織內各項管理作業的流程及其權責說明
三階【辦法】描述管理工作細節及標準
四階【表單】執行資安規範作業時填寫記錄所使用的文件格式
可以說PM熟悉「四階文件」是接受稽核的基本條件,不熟悉時亂回答很容易挖坑給自己的系統跳,嚴重者可能被判定不合格拿不到ISMS認證。
ISMS認證過程需要聘請資安顧問,第三方發證的稽核員又是另一批專家,導入ISMS失敗不僅浪費錢,廠商甚至可能會影響到商譽。

系統實況

有了規範資安標準的「四階文件」,系統的功能、機制都需要依照該標準設計調整。
PM熟悉「四階文件」之後,需要接著熟悉PM力所能及範圍內的對應系統狀況。
撇除PM無法開啟AP、DB等介面,應用系統登入流程、操作功能、需求變更行政流程等,都是PM需熟記的內容,也是稽核員常問的基本題。
文件規範vs系統狀況必須對得上,系統設計對不上、低於文件標準,被稽核員查到就有被判定「不符合」可能拿不到ISMS認證的風險。

三年來的資安稽核心得

最佳的資安稽核回答人選順序應該是「客戶>PM>工程師」。
客戶導入ISMS,有時無奈客戶只懂業務不懂系統資訊,PM此時非常重要。
團隊的工程師在旁輔助開啟AP、DB相關介面,必須非常小心不讓工程師太過「誠實」回答。
突然導入最新的資安規範,對於已經運行好多年的系統而言是措手不及的,很多底層架構的更新汰換都需要時間,這部分在回答稽核員時需要多加小心。若是被判定必須立刻儘快馬上改善,偏偏一堆EOL只支援Windows Server 2003平台的套件工具在運行,客戶不一定有預算、即使有預算也必須經歷長久的痛苦移轉過程,只能用惡夢兩個字來形容。
配合ISMS導入時,PM必須皮繃緊多花些時間,即使不願意也都會被捲入寫相關文件、協調問題等等,莫名就被迫技能解鎖了呢。


上一篇
PM必備硬實力:圖文表達技術
下一篇
思考的多元性決定PM的高度
系列文
轉職PM在IT業的生存之道30
圖片
  直播研討會
圖片
{{ item.channelVendor }} {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中

尚未有邦友留言

立即登入留言