ISO 的資安管理系統制度 (ISMS) 在政府機關的大力推動下,早已成為組織不可或缺的必備制度,只要會與資訊沾上邊的很難不與它打交道,現在坊間多半是找輔導 ISMS 的顧問進去協助,但是顧問輔導所引進的 ISMS 制度真的適合自己的組織嗎?或是執行起來卡卡、無意義、又或者只是為了交差了事生一堆紀錄文件,卻不知道那到底是什麼?或許這系列文章可以多少解點惑。
本系列文以 ISO 27001: 2022 為基礎,必要時會同時引進相關的 ISO 標準規範輔助說明。
7年前,某個再也平常不過的日子,在窗外灑落金黃色的光芒,即將下班前的時刻,老闆召喚我進辦公室,對著我說: 「我們公司要導ISMS制度,這個任務就交給你了。」 開...
所謂的ISMS,是資訊安全管理系統 (Information Security Management System) 的縮寫,顧名思義,ISMS就是一個以資訊安...
在前面我們說明了管理系統標準的形成以及組織在導入管理系統時所必備的兩個要素,也就是描述組織如何運行整套管理系統的文件,以及證明組織管理系統運作成效的記錄,這兩個...
在七年前開始接觸導入ISMS的時候,因為什麼都還不太懂,上網查了一些相關的資訊時,有特別注意到多數的文章都會提到「說寫做一致」這個術語,還有些文章說這是所謂的「...
對一個沒有導入過ISO管理系統標準制度的組織來說,因為沒有接觸過,也沒有任何經驗,連什麼叫「管理系統」可能都不知道,多數的組織都會選擇請管理顧問或是專門輔導管理...
組織依照ISO管理系統標準來規劃、設計、建構一整套的管理制度,並且依制度運作,一般來說通常都會達到預期的成果,然而若只是組織自己說,基本上很難有公信力,畢竟人大...
在系列文章的一開始先由管理系統的概念開始導入,先對管理系統的定義有些認知後,再回頭來看ISMS會比較能理解它到底是什麼,以及它要達到什麼目的,導入ISMS對組織...
注意:自本篇文章開始,會使用 「主條文」(Clause) 一詞來簡稱 ISO 27001:2022 的本文。 在組織中,管理制度會依照其管理範疇 (Scop...
組織的規模類型很多,有些組織只是小型或微型企業,有些則是中大型企業或跨國企業,雖然前一個主題要ISMS制度規劃者要透視整個組織,然而ISMS並沒有規定一定得要「...
請回顧一下管理系統的定義:「管理系統是組織的一組相互關聯或相互作用的要素,用於建立政策和目標以及實現這些目標的過程」,簡單的說,一套管理系統的核心,在於過程 (...