經過30天30篇的文章介紹，相信看倌們對於實作一套資訊安全管理系統 (ISMS) 都有了簡單的概念，基本上，ISO的管理系統上就是一個標準框架，組織要依照框架逐步去實作框架內所指出的所有過程，再由第三方符合性評鑑機構 (CB) 稽核通過並授證後，才能認為組織已符合指定管理系統的要求。

在組織內導入一套管理系統一向都不是容易的事，因為管理系統一般不會只有單一維度，也不太可能只涉及單一個專業部門，大多數都要由全組織的人員共同參與 (比如ISO 9001品質管理系統)，因此與組織其他部門協調、討論乃至於共同訂制相關的管理規範是非常重要的事；在之前的文章中有提到ISMS的導入範圍不一定要全組織，可以依組織的資源考量來設定範圍，然而即便是小到只有IT部門 (或機房)，仍然會需要與人力資源部門討論相關的人員規格要求 (主條文7.2) 以及常態化的教育訓練 (主條文7.3)，也要與業務部門同步這些資訊以利傳達給客戶 (主條文7.4)；若組織本身已經有作業程序時，將管理系統揉進現行作業程序則會需要更多的討論與思考，這些都有賴於制度制訂者的智慧。

整個管理系統的導入與運作，可以簡單的用這張圖來呈現：

ISMS的導入重點在於兩個部份：

1. 主條文所列過程的遵循性 (組織全景、領導作為、規劃、支援、運作、績效評估與改善)。
2. 基於處理風險評鑑中所辨識出的風險項目所施加的控制措施的實作及其有效性的評估與審查。

整個ISO 27001:2022的93項控制措施都是於資訊安全保護的基礎上所制訂，正如之前的文章所提，雖然與ISO 27001:2013的114項控制措施減少了23項，但每一個控制措施的涵蓋面都變大了，再加上新列入的11項控制措施，導入2022版ISMS的實作壓力不會比2013輕，即便是轉版，也是要面對新的控制措施，以及現行控制措施涵蓋面擴大的問題。

受限於30天的篇幅，我沒辦法把全部93項控制措施都完整說明過，所以我只挑了幾個我個人覺得重要的控制措施介紹，包含組態管理、專案管理之資訊安全及系統開發安全三項，當然還有其他像資產管理、資訊安全事故、營運持續、供應者管理這些都是相對大的議題，不過這幾個都要一些篇幅才可能說明完，因此我只能捨棄這些議題，日後有機會的話再來多說一些。

好啦，這30天說長不長，說短也不短，期待這30天的經驗分享能至少給正在導入ISMS之路上奮戰的人們些微的幫助，以後有緣再見啦。