經過30天30篇的文章介紹,相信看倌們對於實作一套資訊安全管理系統 (ISMS) 都有了簡單的概念,基本上,ISO的管理系統上就是一個標準框架,組織要依照框架逐步去實作框架內所指出的所有過程,再由第三方符合性評鑑機構 (CB) 稽核通過並授證後,才能認為組織已符合指定管理系統的要求。
在組織內導入一套管理系統一向都不是容易的事,因為管理系統一般不會只有單一維度,也不太可能只涉及單一個專業部門,大多數都要由全組織的人員共同參與 (比如ISO 9001品質管理系統),因此與組織其他部門協調、討論乃至於共同訂制相關的管理規範是非常重要的事;在之前的文章中有提到ISMS的導入範圍不一定要全組織,可以依組織的資源考量來設定範圍,然而即便是小到只有IT部門 (或機房),仍然會需要與人力資源部門討論相關的人員規格要求 (主條文7.2) 以及常態化的教育訓練 (主條文7.3),也要與業務部門同步這些資訊以利傳達給客戶 (主條文7.4);若組織本身已經有作業程序時,將管理系統揉進現行作業程序則會需要更多的討論與思考,這些都有賴於制度制訂者的智慧。
整個管理系統的導入與運作,可以簡單的用這張圖來呈現:
ISMS的導入重點在於兩個部份:
整個ISO 27001:2022的93項控制措施都是於資訊安全保護的基礎上所制訂,正如之前的文章所提,雖然與ISO 27001:2013的114項控制措施減少了23項,但每一個控制措施的涵蓋面都變大了,再加上新列入的11項控制措施,導入2022版ISMS的實作壓力不會比2013輕,即便是轉版,也是要面對新的控制措施,以及現行控制措施涵蓋面擴大的問題。
受限於30天的篇幅,我沒辦法把全部93項控制措施都完整說明過,所以我只挑了幾個我個人覺得重要的控制措施介紹,包含組態管理、專案管理之資訊安全及系統開發安全三項,當然還有其他像資產管理、資訊安全事故、營運持續、供應者管理這些都是相對大的議題,不過這幾個都要一些篇幅才可能說明完,因此我只能捨棄這些議題,日後有機會的話再來多說一些。
好啦,這30天說長不長,說短也不短,期待這30天的經驗分享能至少給正在導入ISMS之路上奮戰的人們些微的幫助,以後有緣再見啦。