7年前，某個再也平常不過的日子，在窗外灑落金黃色的光芒，即將下班前的時刻，老闆召喚我進辦公室，對著我說：

「我們公司要導ISMS制度，這個任務就交給你了。」

開啟了接下來7年我與所謂的「ISMS」奮戰的歲月。

之所以用「奮戰」來形容，是因為實際接觸這個由國際標準組織 (ISO) 所設計的管理系統標準 (MSS) 制度之後，發現一套管理系統標準不是只有單一個領域的事務而己，背後隱含了許多不同領域的知識，這些知識環繞在一個核心概念，並且用「管理系統標準」的框架組合而成，在整個導入制度的過程，不僅僅是管理系統標準本身的核心領域，與它相關的不同領域也都要涉獵一些，再與公司本身的業務相銜接，才能使整個管理系統標準在公司業務流程之內順暢運行，以發揮管理系統標準所要達成的目標。

在這7年的過程中，由一開始的懵慒懂懂、到完成整個制度的草案設計、到完成首次的內部稽核、首次完成初次外部稽核取得認證、認證週期間的年度追查稽核、完成初次的再認證稽核等等，一路走來相當辛苦。一開始對管理系統概念的不熟悉，以及如何與公司業務流程揉合以達成標準的要求，使得初期幾乎必須沉浸在標準的各個條文，搭配輔導顧問的建議與指導，一步一步的將必要的制度流程制訂出來，運用顧問團隊所發展的框架，滿足管理系統標準的最低程度要求。經由一次又一次的稽核活動，由不同的稽核員提供寶貴的意見，以及看到制度設計的盲點，不斷的改善公司的管理系統制度，強化公司在管理系統核心領域的能力，也讓公司的客戶對公司的產品及服務感到滿意，更願意將業務托付給我們，我想這應該是導入管理系統最重要的價值吧。

這個系列文章是以「由零開始」導入ISMS管理系統標準制度的前提下所撰寫，而我在撰寫本文的當下雖然已經歷練了7年的ISMS，但我本身並不具備主導稽核員 (Lead Auditor) 資格，因此或許文章中有些詞彙、經驗或是陳述可能會與你所聽到的、上過的課的內容有所出入，這些都是過去七年以來的經驗，以及實際上遇到的問題、想法以及議題等等，我會盡可能的在允許的範圍內，闡述及引用相關的標準文字來分享我的導入經驗，若我有觀念錯誤的部份，也歡迎大家給予寶貴意見。

簡單說明一下我的背景，我是已從事軟體開發20餘年的軟體工程師，曾經跨足一小步到MIS領域，從無到有一手打造公司的DevOps基礎建設，將公司的軟體生產自動化，並於7年前由老闆授命導入ISMS資訊安全管理系統至今，一手打造了公司的ISMS制度並持續維護6年，第7年則是因應轉版而調整制度中，而這個系列文是這7年過程的經驗總結。

文章列表：

1. 何謂管理系統
2. 何謂文件化資訊
3. 傳說中的說寫做一致
4. 顧問的角色與協助
5. 符合性評鑑與稽核的概念
6. 何謂ISMS
7. 透視你的組織：組織全景
8. 決定你能做多大：定義範圍
9. 理解過程、程序與指引的差異
10. 最高管理階層的責任
11. 風險與風險管理的概念
12. 風險評鑑過程
13. 資訊安全風險管理
14. 目標、有效性及制度的穩定性
15. 準備推行制度所需的資源
16. 運作你的制度
17. 確認管理系統制度的有效性：績效評估
18. 確認管理系統制度的有效性：內部稽核
19. 績效總結：管理審查
20. 矯正行動與持續改善
21. 控制措施實作的概念
22. 組織控制措施
23. 人員控制措施
24. 實體控制措施
25. 技術控制措施
26. 組態管理
27. 專案管理之資訊安全
28. 系統開發之控制措施 (上)
29. 系統開發之控制措施 (下)
30. 最終考驗：第三方稽核