7年前,某個再也平常不過的日子,在窗外灑落金黃色的光芒,即將下班前的時刻,老闆召喚我進辦公室,對著我說:
「我們公司要導ISMS制度,這個任務就交給你了。」
開啟了接下來7年我與所謂的「ISMS」奮戰的歲月。
之所以用「奮戰」來形容,是因為實際接觸這個由國際標準組織 (ISO) 所設計的管理系統標準 (MSS) 制度之後,發現一套管理系統標準不是只有單一個領域的事務而己,背後隱含了許多不同領域的知識,這些知識環繞在一個核心概念,並且用「管理系統標準」的框架組合而成,在整個導入制度的過程,不僅僅是管理系統標準本身的核心領域,與它相關的不同領域也都要涉獵一些,再與公司本身的業務相銜接,才能使整個管理系統標準在公司業務流程之內順暢運行,以發揮管理系統標準所要達成的目標。
在這7年的過程中,由一開始的懵慒懂懂、到完成整個制度的草案設計、到完成首次的內部稽核、首次完成初次外部稽核取得認證、認證週期間的年度追查稽核、完成初次的再認證稽核等等,一路走來相當辛苦。一開始對管理系統概念的不熟悉,以及如何與公司業務流程揉合以達成標準的要求,使得初期幾乎必須沉浸在標準的各個條文,搭配輔導顧問的建議與指導,一步一步的將必要的制度流程制訂出來,運用顧問團隊所發展的框架,滿足管理系統標準的最低程度要求。經由一次又一次的稽核活動,由不同的稽核員提供寶貴的意見,以及看到制度設計的盲點,不斷的改善公司的管理系統制度,強化公司在管理系統核心領域的能力,也讓公司的客戶對公司的產品及服務感到滿意,更願意將業務托付給我們,我想這應該是導入管理系統最重要的價值吧。
這個系列文章是以「由零開始」導入ISMS管理系統標準制度的前提下所撰寫,而我在撰寫本文的當下雖然已經歷練了7年的ISMS,但我本身並不具備主導稽核員 (Lead Auditor) 資格,因此或許文章中有些詞彙、經驗或是陳述可能會與你所聽到的、上過的課的內容有所出入,這些都是過去七年以來的經驗,以及實際上遇到的問題、想法以及議題等等,我會盡可能的在允許的範圍內,闡述及引用相關的標準文字來分享我的導入經驗,若我有觀念錯誤的部份,也歡迎大家給予寶貴意見。
簡單說明一下我的背景,我是已從事軟體開發20餘年的軟體工程師,曾經跨足一小步到MIS領域,從無到有一手打造公司的DevOps基礎建設,將公司的軟體生產自動化,並於7年前由老闆授命導入ISMS資訊安全管理系統至今,一手打造了公司的ISMS制度並持續維護6年,第7年則是因應轉版而調整制度中,而這個系列文是這7年過程的經驗總結。
文章列表: