當組織依照ISO 27001:2022所要求的活動制訂ISMS管理制度、運作執行並完成內部稽核與管理審查後,即算完成一個週期的ISMS活動,並即將要接受最終考驗...
在安全開發生命週期的範疇下,軟體開發的各個階段型塑了生命週期下的環節,由需求分析出發的應用系統安全要求事項 (A.8.26)、系統分析與設計的安全系統架構及工程...
今天就來談談我的老本行「軟體開發」的控制措施吧,軟體開發可是資訊技術中與硬體平起平坐的生產單位,由於不像硬體是有形 (tangible) 的資產,為妥善且有效的...
當看到「專案管理」這四個字時,相信應該不少懂的人會心頭一驚,畢竟專案管理 (Project Management) 本身就是一門很大的學問,大到有專門的學術組織...
組態管理 (Configuration Management) 是ISO 27002:2022中所新增的11項控制措施之一,屬於技術控制措施,但它也是這11個控...
技術控制措施 (Technological Control) 共有34項,可以將它視為把其他三類控制措施「落地」的方法,技術控制措施所指引的是如果要某項要求要做...
除以全遠端方式營運的組織外,多半組織都會有一個辦公場域,會有一部或多部的個人電腦或主機 (統稱資訊處理設施)、網路佈建以及需嚴格保護的區域 (如機房) 等,這些...
任何的管理制度的本質都是在控制人類的行為,即便是再好的管理制度,只要人這個因素沒有控制好,走鐘或失敗的機會就會很高,有再好的設備、再好的技術都一樣,人的決策經常...
正如其名,組織控制措施 (Organizational Controls) 是站在組織層級的觀點所施加的控制措施,也就是一個站在管理的角度來施行的控制方式,共有...
在講完整個ISMS的要求過程後,再來就是講一下ISO 27001:2022附錄A的「控制措施」。 ISO 27002對控制措施的定義是: Control is...
一個有效的管理制度,除了要依照制度所規定的過程,在規定的時間內執行及產生必要的結果 (或記錄) 外,根據管理系統的PDCA精神,若在執行過程中發現潛在的風險、不...
當ISMS已經完成規劃、執行以及內部稽核活動後,ISMS週期最後一個重要活動就是要向最高管理階層報告ISMS在這一個週期 (通常是一年) 內運作的績效以及ISM...
前面已經提到對管理系統制度有效性確認所需要執行的監督、量測、分析及評估的活動,不過即便有進行了這些活動,仍然有可能會使制度的有效性存疑,而存疑的來源是信任風險,...
當ISMS完成規劃,並開始運作一段時間後,一定會產生相關的證據,依照每個組織所設計的控制措施管理制度,必須會產生許多不同的表單,在運作過程中,這些表單都會使用到...
現在事前的準備大致都完成了,由組織高度檢視整個經營環境、匡列要導入ISMS的範圍、檢視相關的風險並完成評鑑、針對無法接受的風險也已經辨識出來、最高管理階層也已表...
任何管理制度的推行,不外乎是與人、過程及過程相關的資源 (有形或無形都算) 有關係,為了要有效的在組織內推動制度,適當且必要的資源是必備條件,ISMS自然也不例...
當風險評鑑過程完結,並確認必須要處理的風險項目,以及產生適用性聲明後,接下來要問的一個問題是,要怎麼確認風險處理的結果是有效的,這個問題可以再往上延伸,就是IS...
前面已經走完風險、風險評鑑及風險處理的程序,再回到ISMS對這部份的要求,ISMS的存在最重要的目標,就是能讓組織能有效的面對資訊安全風險 (Informati...
任何的管理系統制度,除了要達成管理系統所要達到的目標外,最重要的是要預防、避免或降低在運作過程中所發生的風險 (Risk),風險在日常生活中其實隨處可見,只要人...
在組織要推行任何的制度,不管是不是管理系統,最高管理階層的支持佔了推行成功至少一半的比例,即便制度再好再優,最高管理階層不支持的話必定成不了氣候,最高管理階層握...
請回顧一下管理系統的定義:「管理系統是組織的一組相互關聯或相互作用的要素,用於建立政策和目標以及實現這些目標的過程」,簡單的說,一套管理系統的核心,在於過程 (...
組織的規模類型很多,有些組織只是小型或微型企業,有些則是中大型企業或跨國企業,雖然前一個主題要ISMS制度規劃者要透視整個組織,然而ISMS並沒有規定一定得要「...
注意:自本篇文章開始,會使用 「主條文」(Clause) 一詞來簡稱 ISO 27001:2022 的本文。 在組織中,管理制度會依照其管理範疇 (Scop...
在系列文章的一開始先由管理系統的概念開始導入,先對管理系統的定義有些認知後,再回頭來看ISMS會比較能理解它到底是什麼,以及它要達到什麼目的,導入ISMS對組織...
組織依照ISO管理系統標準來規劃、設計、建構一整套的管理制度,並且依制度運作,一般來說通常都會達到預期的成果,然而若只是組織自己說,基本上很難有公信力,畢竟人大...
對一個沒有導入過ISO管理系統標準制度的組織來說,因為沒有接觸過,也沒有任何經驗,連什麼叫「管理系統」可能都不知道,多數的組織都會選擇請管理顧問或是專門輔導管理...
在七年前開始接觸導入ISMS的時候,因為什麼都還不太懂,上網查了一些相關的資訊時,有特別注意到多數的文章都會提到「說寫做一致」這個術語,還有些文章說這是所謂的「...
在前面我們說明了管理系統標準的形成以及組織在導入管理系統時所必備的兩個要素,也就是描述組織如何運行整套管理系統的文件,以及證明組織管理系統運作成效的記錄,這兩個...
所謂的ISMS,是資訊安全管理系統 (Information Security Management System) 的縮寫,顧名思義,ISMS就是一個以資訊安...
7年前,某個再也平常不過的日子,在窗外灑落金黃色的光芒,即將下班前的時刻,老闆召喚我進辦公室,對著我說: 「我們公司要導ISMS制度,這個任務就交給你了。」 開...