任何管理制度的推行,不外乎是與人、過程及過程相關的資源 (有形或無形都算) 有關係,為了要有效的在組織內推動制度,適當且必要的資源是必備條件,ISMS自然也不例外,在完成了整體的規劃後,已經有了資訊安全組織、資訊安全政策、風險評鑑結果及適用性聲明等產出,接下來就是要開始將ISMS制度落實到組織內,然而在起始之際,仍然要先準備好四件事:
組織必須要先準備好這四件事,才能正式開始推展ISMS進入組織內落實執行;而四項中的三項都與人有關,可見人才是制度推動最重要的資源,挑選適當的人負責執行必要的過程,對組織內的所有人說明制度內容以建議足夠的認知,並且在制度有異動時對組織內外宣達週知,都影響著ISMS是否能順利推動並落實。
在完成ISMS風險處理與建立適用性聲明後,對組織內使用了多少個ISO 27001:2022附錄A的控制措施應已有清楚的了解,每個控制措施都可能包含一個完整的管理過程,也可能會是多個控制措施交互運用,也或許是一個控制措施能處理多個風險等等,例如A.5.9 (資訊及其他相關聯資產之清冊),其控制措施是「應製作並維護資訊及其他相關聯之資產」,光是資產 (Asset) 的定義、盤點程序、維護程序等等就已經是一套完整的制度;又或是A.5.30 (營運持續之ICT備妥性),其控制措施是「應依營運持續目標及ICT持續之要求事項,規劃、實作、維護及測試ICT備妥性」,尚不提ICT (資通科技),營運持續 (Business Continuity) 本身就是一個大議題,裡面包含了很多額外的知識以及過程,這些都需要有相應能力 (competence) 的人員來負責規劃、推動與執行的事宜,即便是已經事先制訂好,但若負責的人對它沒有概念時,也難以交辦出去,或是制度無法如預期般執行等等,因此組織要安排具有足夠能力的人員負責執行,或是安排夠的教育訓練將能力培養起來再交辦,或是採用做中學 (on job training) 的方式訓練,慢慢移交出去等等的方法,若組織內的人員能力普遍不足時,則可能會循求外部資源 (如顧問) 的加入協助輔導或訓練,以提升人員能力到足以勝任的程度。
主條文7.2,與附錄A的控制措施A.6.2 (聘用條款與條件) 及A.6.3 (資訊安全認知與教育訓練) 有部份相關。
除了直接交辦的負責人員外,對於組織範圍內的所有人員,亦必須要施予教育訓練,傳達整個ISMS管理制度,包含人員應遵守的事項 (例如保密條款)、在制度下執行特定工作時應遵循的程序,以及若未遵循時會發生的後果等等,建立起所有人對ISMS的認知 (Awareness),而這也有助於達到基本的風險控制。
主條文7.3,與附錄A的控制措施A.6.3 (資訊安全認知與教育訓練)、A.6.4 (獎懲過程)、A.6.6 (機密性及保密協議) 及A.6.8 (資訊安全事件通報) 有關。
除組織內的人員外,通常ISMS制度也會對關注方有所影響 (例如對其他組織的保密切結或是安全要求等),必須要與關注方做適當的溝通,確保關注方理解組織的ISMS,並且依ISMS之規定執行,避免爭議或是抱怨。
依主條文7.4,組織需定義與組織內外部溝通的程序,包含傳達事項、時間、對象及方式。
前面提到,在適用性聲明內的每個控制措施都可能會是一個完整的管理制度,在正式推動ISMS之前,這些制度必須要先制訂出來,才有辦法對組織內外進行溝通與教育訓練,而一個管理制度必定會包含制度過程的規範以及執行過程所產生的記錄兩種 (通常會先以表單型式存在),也就是說,每個控制措施都可能會有一份完整的規範文件及記錄,這些都是主條文7.5所說的文件化資訊 (Documented information)。
ISMS會有兩種文件化資訊,依據主條文7.5.1之要求,ISMS會包含:
ISMS並未要求文件一定要用什麼類型、格式、結構等,組織可以依自己的特性制訂。
ISMS所需要的過程強制性文件如下表:
前面討論規劃作業時已有提及變更規劃 (主條文6.3),任何對ISMS的變更都是需要經過規劃的程序才能執行,文件也一樣,作為ISMS制度的文件也應該要有一定的程序,包含制訂、更新及廢止,都需要經過相關層級的審查及核定才能施行,這樣的審查過程必須要由組織制訂出來,以及文件的版本控制、格式 (文件識別與描述、使用語言、圖形等)、媒體 (電子或紙本) 等,都要由組織以過程制訂出來,形成一個文件管理的制度,並據以執行,以落實文件化資訊的控制。
整個控制過程即為主條文的7.5.3之要求,這個過程本身也要是文件化資訊。
另外,除了資訊安全政策一般會是對外開放之外,其他的制度文件可能會因為組織的保護要求而不一定會對外開放,組織要明確定義各文件與表單的存取權限 (如限內部使用、敏感文件或機密文件等),以確保文件化資訊不會反而成為了資料外洩的管道,尤其是承載了敏感資訊的表單紀錄 (如個人資料表),更要以嚴格的存取控制管理,以避免可能的風險。
若組織外的文件化資訊會影響到組織的ISMS,則也應該列管為外來文件 (External documentation)。