所謂的ISMS,是資訊安全管理系統 (Information Security Management System) 的縮寫,顧名思義,ISMS就是一個以資訊安全為核心領域的一套管理系統,雖說看起來好像技術含量有點重,但基本上技術若冠上了「管理」二字,基本上就已經脫離了至少一半的技術了,因為管理的活動包含了領導、決策與協調的工作,這些都不是只單純以技術能力就能達到,要面對的是「人」,以及由「人」所組成的「組織」,所以,不能只用技術眼光去看ISMS,而是要由「管理系統」的角度去看。
何謂管理系統?ISO有這樣的定義:
Management System is a set of interrelated or interacting elements of an organization to establish policies and objectives, and processes to achieve those objectives (ISO 9000:2015, 3.5.3)
管理系統是組織的一組相互關聯或相互作用的要素,用於建立政策和目標以及實現這些目標的過程。
由定義可知,一個管理系統會制定目標 (Objective),針對目標訂定政策 (Policy),並且制訂或設計實現目標的過程 (Process),而這些過程會由組織一群相互關聯或相互作用的要素所組合而成;而所謂的ISMS,就是一套以資訊安全為目標,由組織制訂政策以及實現資訊安全所需的過程,而將組織一群相互關聯或相互作用的要素所組合起來構成的一整個系統。
管理系統的核心思維是系統化思維 (Systematic Thinking),透過由組織所設計與制訂的過程,能夠達成組織的政策所要達成的目標,而這些目標會與管理系統的核心領域相扣,藉以達成管理系統所設定的核心目的,同時也因為它是一個系統,只要組織依照這個系統持續運作,即便組織的要素替換了 (比如員工替換了、設備替換了),仍然可以讓整個管理系統能達到一定程度的效用,不會因為要素替換了就讓管理系統失效。
但為了要達到這個目的,在導入一個管理系統時,就必須要考量整個組織的活動、業務流程、利害關係人 (Stakeholders) 等等的因子,將管理系統注入到組織的各個層面內,並且組織要確保在管理系統運作時,各個在規劃過程中所定義的條件 (Criteria) 能得以滿足,這些條件則是基於管理系統所要求的項目所定義;因此,每一套管理系統都會基於其核心領域,定義必須要滿足的核心要求,這就是所謂的管理系統標準 (Management System Standard, MSS),標準內會詳述組織必須要執行的過程,以及為了「證明組織有執行這些過程」所留下的證據 (Evidence)。
ISO的管理系統標準起源於大家常聽到的ISO 9001,也就是品質管理系統 (Quality Management System, QMS),於1987年頒定,包含了組織責任、管理階層責任、流程控制、文件控制、內部稽核、管理審查、矯正活動等等現代管理系統的標準框架,經過數十年的發展,ISO已經將管理系統標準概念標準化為一致的高階架構,並定義於ISO/IEC指令第一部份 (Directive Part 1)的附件SL (Annex SL) 內,在附件SL內,ISO定義了一套管理系統標準制度應有的結構如下:
由附件SL的結構不難看出,一套管理系統的形成,必須要先由組織的全景開始,由夠高的高度俯瞰組織,檢視組織內部與外部後,由高階領導人授權並投入資源開始規劃,在規劃期間投入支援的資源以產生制度,並且落實於日常運作中,並定期進行績效評估,若發現問題時則要予以改善,如此不斷的運轉,最終達成管理系統標準的要求及目的。
所以,一套已落實於組織日常運作的管理系統,至少一定會有兩樣東西,一樣是描述整套管理系統的文件 (Documentations),以及證明管理系統運作成效的記錄 (Records),缺一不可。
對一個初次導入管理系統標準的組織而言,如何制訂出滿足管理系統標準要求所需的制度並將其文件化 (Documented),是一個很大的挑戰,因為組織內部的流程是獨一無二的,即便一開始是模仿其他類似組織的流程,但久而久之,組織會逐步將流程修改成適合組織自己能力狀態,因此要將管理系統標準與組織流程揉合是一件沒有想像中容易的事;另一個挑戰則是真切落實管理制度並產生記錄,來證明組織所制訂的管理系統是有效運作的,畢竟管理系統是一個要管理「人」的制度,只要是「人」,就會有各種不同的影響因子進來,其中一項就是認知 (Awareness),若執行制度的「人」的認知錯誤或不足,有可能會使制度執行出現錯誤或落差,導致可能的系統失效,此時就需要採取行動來修正,這個過程稱為 PDCA 過程,我們後面會談到這個過程。