現在事前的準備大致都完成了,由組織高度檢視整個經營環境、匡列要導入ISMS的範圍、檢視相關的風險並完成評鑑、針對無法接受的風險也已經辨識出來、最高管理階層也已表達支持並給予必要的資源了,現在就是要開始進入ISMS最重要的環節:運作 (Operation)。
在主條文8.1中,要求組織運用之前所選定的控制措施進行實作,組織在開始進行之前已經規劃好要由適當的人來進行這件事 (主條文7.2),被授權針對控制措施規劃與執行制度的人 (以下就稱為負責人吧) 必須要依照控制措施的要求進行制度規劃與設計,由於在附錄A中只會交代控制措施要達到的目的是什麼,可能對理解控制措施要做到什麼樣的程度會有些困難,這時候就需要參考ISO 27002:2022,它會對每一個控制措施都提供了詳細的實作指引,不過由於部份控制措施本身就已經是一個很大的議題 (比如A.5.8專案管理之資訊安全、A.5.9資訊及其他相關聯資產之清冊、A.5.30營運持續之ICT備妥性、A.5.43隱私及PII保護、A.8.25安全開發生命週期等等),在ISO 27002:2022的指引中也會導引讀者去參考相關的ISO標準,因此有時會很容易摸不到實作的邊界,所以在實際實作控制措施時,建議:
主條文8.1要求組織在針對控制措施實作時,要符合這兩個原則:
若控制措施的實作能達成前面這兩個原則,並在過程中留下足夠的記錄,那麼基本上就已能符合主條文中「其程度須具足以達成其過程已依規劃執行之信心」。
當控制措施的制度建立之後,若要對其進行變更時,要依照主條文7.5的過程進行,也必須要對這類變更進行規劃 (主條文6.3),避免或減輕變更所帶來的負面效果 (比如反而使要控制的風險升高,或是增加額外的風險)。
另外,在制度規劃或運行的過程中,若因為某些因素 (如組織業務異動、流程變更、資源調動等) 而使制度需要進行重大變更時,必須進行風險評鑑,評鑑所用的風險準則可依之前組織所定義的風險準則為依據,同樣若是產生組織無法接受的風險時,要進行風險處理,以確保風險都已經在控制之中。
主條文8.1要求應將依控制措施要求所規劃之過程以及運作產生的結果形成文件化資訊;主條文8.2及8.3應將過程中發生風險的評鑑結果及處理結果形成文件化資訊。