iT邦幫忙

2024 iThome 鐵人賽

DAY 1
0

7年前,某個再也平常不過的日子,在窗外灑落金黃色的光芒,即將下班前的時刻,老闆召喚我進辦公室,對著我說:

「我們公司要導ISMS制度,這個任務就交給你了。」

開啟了接下來7年我與所謂的「ISMS」奮戰的歲月。

之所以用「奮戰」來形容,是因為實際接觸這個由國際標準組織 (ISO) 所設計的管理系統標準 (MSS) 制度之後,發現一套管理系統標準不是只有單一個領域的事務而己,背後隱含了許多不同領域的知識,這些知識環繞在一個核心概念,並且用「管理系統標準」的框架組合而成,在整個導入制度的過程,不僅僅是管理系統標準本身的核心領域,與它相關的不同領域也都要涉獵一些,再與公司本身的業務相銜接,才能使整個管理系統標準在公司業務流程之內順暢運行,以發揮管理系統標準所要達成的目標。

在這7年的過程中,由一開始的懵慒懂懂、到完成整個制度的草案設計、到完成首次的內部稽核、首次完成初次外部稽核取得認證、認證週期間的年度追查稽核、完成初次的再認證稽核等等,一路走來相當辛苦。一開始對管理系統概念的不熟悉,以及如何與公司業務流程揉合以達成標準的要求,使得初期幾乎必須沉浸在標準的各個條文,搭配輔導顧問的建議與指導,一步一步的將必要的制度流程制訂出來,運用顧問團隊所發展的框架,滿足管理系統標準的最低程度要求。經由一次又一次的稽核活動,由不同的稽核員提供寶貴的意見,以及看到制度設計的盲點,不斷的改善公司的管理系統制度,強化公司在管理系統核心領域的能力,也讓公司的客戶對公司的產品及服務感到滿意,更願意將業務托付給我們,我想這應該是導入管理系統最重要的價值吧。

這個系列文章是以「由零開始」導入ISMS管理系統標準制度的前提下所撰寫,而我在撰寫本文的當下雖然已經歷練了7年的ISMS,但我本身並不具備主導稽核員 (Lead Auditor) 資格,因此或許文章中有些詞彙、經驗或是陳述可能會與你所聽到的、上過的課的內容有所出入,這些都是過去七年以來的經驗,以及實際上遇到的問題、想法以及議題等等,我會盡可能的在允許的範圍內,闡述及引用相關的標準文字來分享我的導入經驗,若我有觀念錯誤的部份,也歡迎大家給予寶貴意見。

簡單說明一下我的背景,我是已從事軟體開發20餘年的軟體工程師,曾經跨足一小步到MIS領域,從無到有一手打造公司的DevOps基礎建設,將公司的軟體生產自動化,並於7年前由老闆授命導入ISMS資訊安全管理系統至今,一手打造了公司的ISMS制度並持續維護6年,第7年則是因應轉版而調整制度中,而這個系列文是這7年過程的經驗總結。

文章列表:

  1. 何謂管理系統
  2. 何謂文件化資訊
  3. 傳說中的說寫做一致
  4. 顧問的角色與協助
  5. 符合性評鑑與稽核的概念
  6. 何謂ISMS
  7. 透視你的組織:組織全景
  8. 決定你能做多大:定義範圍
  9. 理解過程、程序與指引的差異
  10. 最高管理階層的責任
  11. 風險與風險管理的概念
  12. 風險評鑑過程
  13. 資訊安全風險管理
  14. 目標、有效性及制度的穩定性
  15. 準備推行制度所需的資源
  16. 運作你的制度
  17. 確認管理系統制度的有效性:績效評估
  18. 確認管理系統制度的有效性:內部稽核
  19. 績效總結:管理審查
  20. 矯正行動與持續改善
  21. 控制措施實作的概念
  22. 組織控制措施
  23. 人員控制措施
  24. 實體控制措施
  25. 技術控制措施
  26. 組態管理
  27. 專案管理之資訊安全
  28. 系統開發之控制措施 (上)
  29. 系統開發之控制措施 (下)
  30. 最終考驗:第三方稽核

下一篇
[Day 1] 何謂管理系統?
系列文
資訊安全管理系統制度白手起家32
圖片
  直播研討會
圖片
{{ item.channelVendor }} {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中

尚未有邦友留言

立即登入留言