在資安工程師的世界裡，敵人不只有勒索病毒、APT、釣魚信……
還有一種藏在辦公室抽屜、共用槽的恐怖怪物：

「ISMS 文件」。

如果把防火牆當作是鐵甲、EDR 當作神器，
那 ISMS（資訊安全管理系統）就是一本「葵花寶典」。
只不過這本就像尚未自宮前的無字天書，是厚到能壓死人的一疊政策、流程、紀錄表單。

前言：劇情背景

在我們公司，以前的 ISMS 文件全都塞在一階「資訊安全政策」裡，
就像遊戲剛開服時，只有一張大地圖，任務全擠在告示板上。

但隨著法規和客戶審查壓力越來越大，高層突然下令：

「把整套 ISMS 補齊！」

於是，身為新手資安工程師的我，正式踏上了這條修煉之路。

初遇：文件海的第一口鹹水

於是我想知道，到底「補齊」要補什麼，就決定深入研究 ISMS。
結果一翻才發現，原來不止一階，還有二階、三階、四階……
瞬間就像誤觸彩蛋副本，越看越覺得自己等級不夠。

我一臉黑人問號：

「這是……啥？一階、二階、三階、四階文件？
感覺要打到王城才看得懂的東西？」

• 角色等級：Lv.1 新手工程師
• 任務列表：Annex A 上百條控制措施
• 任務說明：一行行專業名詞（資產分類、風險評鑑、供應商安全）
• 任務道具：堆滿資料夾的 Word + Excel 表單

很快我就悟了：
這不是「讀完就懂」的文件，而是「看不懂才正常」的文件。

文件怪物圖鑑

玩了一陣子後，我才發現文件其實分成四階，就像副本由大到小：

1. 政策（Policy） – 主線劇情。公司高層大喊：「我們要保護資訊安全！」
2. 規範（Standard / Guideline） – 裝備圖鑑。密碼要幾碼？權限怎麼分？
3. 程序（Procedure） – 副本任務。事件發生時，誰要補血、誰要拉怪。
4. 紀錄（Record） – 存檔紀錄。打王了？請截圖簽名，沒有證據一律不算。

第一次挑戰的痛點

1. 字太硬
   條文滿滿「應、需、必須」，讀起來比武功祕笈還難懂。
   看到「應實施風險評鑑」時，我腦袋浮現的不是方法，而是：「這是謎題嗎？提示呢？」

2. 看不出關聯
   文件寫「定期審核存取權限」，我一開始以為那是 HR 的工作，結果後來才懂：
   它跟我每天查的 log 直接掛勾。

3. 填表焦慮
   《資產盤點表》、《風險評鑑表》一拿到就想 Alt+F4。
   想像一下，要為每台電腦寫價值和威脅，半夜還在糾結：「這台舊筆電算高風險嗎？萬一被偷呢？」

4. 補齊壓力
   發現我們缺二、三、四階文件，感覺像被告知：
   「副本還有三章沒解鎖，請玩家自行補劇情。」
   寫太嚴 → 每天自己卡關；寫太鬆 → 稽核員直接秒殺。
   到最後才懂，這些文件如果沒拿捏好，不是防護盾，反而會變成自己設下的陷阱。

小攻略：如何不被文件秒殺

• 先看大地圖，不要迷路
  → 把「P-D-C-A 循環」記熟：Plan＝風險評鑑、Do＝執行程序、Check＝審核紀錄、Act＝改善政策。
  就像遊戲的循環任務系統，懂這個才不會迷路。

• 把文件對應到日常工作
  → 防火牆 Log 保留一年 → Annex A.12.4。
  → 開啟 MFA → Annex A.9.4。
  → 設定 EDR 事件回應 → 對應「事件處理程序」。
  這樣一來，文件不再只是紙上談兵，而是你的日常任務手冊。

• 別一口氣硬啃
  → 文件太厚，像打大型副本，得拆章節慢慢推。
  先從自己負責的區域開始，例如「網路安全」，推完再挑戰「人員安全」。
  而且可以「回溯舊副本」：遇到新情境，反推回去補一個政策／程序，讓系統更完整。

結語：地獄，其實是新手教學

第一次看 ISMS 文件，真的像掉進地獄副本。
但後來才懂：它不是要嚇死你，
而是提醒你：

資安不是只有裝備（工具），還要有規則（制度）和紀錄（證據）。

就像打遊戲不能只有手速，還要會看地圖；
同理，資安工程師不能只有防毒和弱掃，還要能看懂政策文件。

因為最後 Boss 不是駭客，而是——
稽核員（GM = Game Master，線上遊戲裡專門抓外掛、檢查你有沒有照規矩玩的管理員）。

準備迎來這篇系列，第一個假日..
這假日還要回老家，希望能夠可以完賽