iT邦幫忙

2024 iThome 鐵人賽

DAY 10
0
Security

資訊安全管理系統制度白手起家系列 第 11

[Day 10] 最高管理階層的責任

  • 分享至 

  • xImage
  •  

在組織要推行任何的制度,不管是不是管理系統,最高管理階層的支持佔了推行成功至少一半的比例,即便制度再好再優,最高管理階層不支持的話必定成不了氣候,最高管理階層握有組織絕大部份的資源,也握有對組織影響力最大的人事與話語權,對組織的影響力無庸置疑,因此得到最高管理階層的認同與承諾是推動一個成功的管理系統中最重要也必須要達成的事。

ISO 27000對最高管理階層的定義是:

Top management is a person or group of people who directs and controls an organization at the highest level. (ISO 27000:2018 3.75)
最高管理階層係於最高層級指導與控制組織之個人或一群人。

在定義中還包含了兩個備考,分別是「最高管理階層有權力於組織內授權及提供資源」以及「若管理系統範圍僅涵蓋組織之某部份,則最高管理階層係針對指導與控制組織之該部份者」。若是一個小型組織,最高管理階層基本上就是創辦人、總經理這樣的角色,而若是中大型組織,最高管理階層則是像董事會、董事長、執行長等等的角色,但無論稱謂是什麼,他們都握有組織最高的權力,因此得到他們的支持就相當重要;當然支持是一回事,也應該要有所行動並擔負必要的責任,證明最高管理階層對管理系統的支持是有效的;ISO管理系統標準的「領導」(Leadership) 條文即定義了最高管理階層應該要負擔的責任。

首先,最高管理階層必須要對前面所定義之「資訊安全管理系統的範疇」內實現ISMS有具體領導與承諾的行動、制訂資訊安全政策 (Information Security Policy) 以及組建或授權一組團隊負責進行ISMS的實現,而這組團隊直接向最高管理階層負責;最高管理階層亦應給予充份資源、授予充份權力、在推動時予以支持,以及確保團隊所實現的ISMS能確實達成其政策目標,以展現最高管理階層對維護與持續改善ISMS的承諾。

主條文5為對最高管理階層領導活動的要求事項,包含領導與承諾 (5.1)、政策 (5.2) 以及組織角色、責任與權限 (5.3)。

制訂資訊安全政策是最高管理階層必須要執行的事項之一,也是只有最高管理階層才擁有的權力;政策也給予了組織行動的方向及目標,資訊安全政策則是最高管理階層對資訊安全管理的指導方針。在主條文5.2中指出了幾個政策中必須要包含的項目的要求事項,基本上政策是化為文字的承諾,也是一種給ISO管理系統的遵循聲明,所以資訊安全政策必須要文件化,並且要對組織、組織的利害關係人公開,以展現組織的資訊安全承諾。

資訊安全政策一般會位於ISMS管理系統文件的第一階 (最高階)。

為了要達成資訊安全政策,組織必須要組建一個專門的團隊來進行必要的活動,而這個團隊即為資訊安全組織,通常是一個功能性團隊,由組織中適當的角色參與組成,最高管理階層會授予團隊中的領導人必要的權力,這位領導人通常會稱為「資訊安全長」(Chief Information Security Officer, CISO,簡稱資安長),就領導資訊安全組織及實現ISMS對最高管理階層負責;資安長負責綜理實現ISMS所需要的各式活動,並於功能部門中找尋適當的角色加入資訊安全組織,以負責特定範圍的任務;當團隊組建完成後,必須要向組織內傳達,通常會將資訊安全組織的組成 (包含角色、任務、資歷等) 予以文件化。

為了要讓ISMS能與組織的業務或營運流程順利揉合及落實執行,資訊安全組織內的成員基本上都會握有一定的管理權力,以便於組織內推動與執行ISMS制度。

在資訊安全組織實現ISMS後,最高管理階層要定時評鑑ISMS的績效,而最常見也必須要執行的事項就是管理審查 (Management Review);管理審查通常會以會議方式進行,由資安長召集資訊安全組織,並邀請最高管理階層與會聽取報告,最高管理階層透過報告對ISMS績效進行審查,確認資訊安全組織所運行之ISMS確實依照資訊安全政策落實執行,符合資訊安全政策之目標,並能持續推動及維持有效性;管理審查通常也會一併針對年度推動或年度確認事項進行討論、審查與核定。

主條文9.3為管理審查活動的要求事項,包含管理審查內必須要提報的內容,以及要求保留及提供管理審查結果的文件化資訊 (例如會議簡報與會議記錄等) 作為執行的證據。

除了主條文5之外,在ISO 27001:2022附件A的控制措施清單中,組織控制措施的A.5.1 (資訊安全政策)、A.5.2 (資訊安全之角色及責任) 與A.5.4 (管理階層責任) 均為最高管理階層所需符合的控制措施。

後面會再針對管理審查的部份做深入的說明。


上一篇
[Day 9] 理解過程、程序和指引的差異
下一篇
[Day 11] 風險及風險管理的概念
系列文
資訊安全管理系統制度白手起家32
圖片
  直播研討會
圖片
{{ item.channelVendor }} {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中

尚未有邦友留言

立即登入留言