ISO 的資安管理系統制度 (ISMS) 在政府機關的大力推動下,早已成為組織不可或缺的必備制度,只要會與資訊沾上邊的很難不與它打交道,現在坊間多半是找輔導 ISMS 的顧問進去協助,但是顧問輔導所引進的 ISMS 制度真的適合自己的組織嗎?或是執行起來卡卡、無意義、又或者只是為了交差了事生一堆紀錄文件,卻不知道那到底是什麼?或許這系列文章可以多少解點惑。
本系列文以 ISO 27001: 2022 為基礎,必要時會同時引進相關的 ISO 標準規範輔助說明。
在組織要推行任何的制度,不管是不是管理系統,最高管理階層的支持佔了推行成功至少一半的比例,即便制度再好再優,最高管理階層不支持的話必定成不了氣候,最高管理階層握...
任何的管理系統制度,除了要達成管理系統所要達到的目標外,最重要的是要預防、避免或降低在運作過程中所發生的風險 (Risk),風險在日常生活中其實隨處可見,只要人...
在前面組織已經決定了風險準則,準備好進行風險評鑑。 風險評鑑由組織全景開始,由於組織經營過程中到處都有風險,因此由全景開始進行檢視是最洽當的,由上而下進行檢視,...
前面已經走完風險、風險評鑑及風險處理的程序,再回到ISMS對這部份的要求,ISMS的存在最重要的目標,就是能讓組織能有效的面對資訊安全風險 (Informati...
當風險評鑑過程完結,並確認必須要處理的風險項目,以及產生適用性聲明後,接下來要問的一個問題是,要怎麼確認風險處理的結果是有效的,這個問題可以再往上延伸,就是IS...
任何管理制度的推行,不外乎是與人、過程及過程相關的資源 (有形或無形都算) 有關係,為了要有效的在組織內推動制度,適當且必要的資源是必備條件,ISMS自然也不例...
現在事前的準備大致都完成了,由組織高度檢視整個經營環境、匡列要導入ISMS的範圍、檢視相關的風險並完成評鑑、針對無法接受的風險也已經辨識出來、最高管理階層也已表...
當ISMS完成規劃,並開始運作一段時間後,一定會產生相關的證據,依照每個組織所設計的控制措施管理制度,必須會產生許多不同的表單,在運作過程中,這些表單都會使用到...
前面已經提到對管理系統制度有效性確認所需要執行的監督、量測、分析及評估的活動,不過即便有進行了這些活動,仍然有可能會使制度的有效性存疑,而存疑的來源是信任風險,...
當ISMS已經完成規劃、執行以及內部稽核活動後,ISMS週期最後一個重要活動就是要向最高管理階層報告ISMS在這一個週期 (通常是一年) 內運作的績效以及ISM...