我們今天來聊聊一個看似深奧,但實際上與我們息息相關的議題—ISMS,因為它與你我個人資訊的安全有著密切的關係;依據目前國家「資通安全法」的規定,C級以上的機關都需要導入ISMS,以確保我們的資訊安全。
ISMS,全名是Information Security Management System,中譯為「資訊安全管理系統」,然而它並不是一種軟體或硬體,而是一套管理方法論。
在實施一個管理系統的時候,我們需要規劃、編寫和維護一些文件,以確保我們的行為符合我們設定的目標,這就是我們通常所說的四階文件。
1.第一階是「政策文件」:主要是確立資安的目標及大方向,就像我們要環球旅行,首先需要確定我們要去哪些地方,預算交通方式等。
2. 第二階是「程序文件」:描述為了達到政策目標,組織需要執行的具體步驟,通常包括誰需要做什麼,以及何時和如何做,就像旅行要去的地方確定了,還需要誰規劃每條路線的行程,誰負責哪些裝備等等。
3. 第三階是「作業指導書」:提供執行特定任務所需的詳細指導,通常包括具體的步驟、工具和技術,就像旅行時如何操作各種裝備,例如如何開車,如何搭帳篷等等。
4. 第四階,則是「記錄文件」:就是實際落實的SOP及工作紀錄,就像旅行的清單與日誌一樣,除了留下經歷的證明,還可以供我們回顧和檢討。
而每個單位在設計四階文件時,會根據他們自身的業務需求、組織文化、人力資源等因素來制訂。像是銀行及醫院等資訊重要性跟複雜性較高的組織,他們的文件會比較詳盡,反之,如果某個單位的操作流程較為簡化,他們的文件可能會較為精簡,這其中沒有絕對的好與壞,只有是否適合自己的組織。
這就是為什麼ISMS很強調「適應性」和「持續改進」,每個組織都需要根據自己的環境和挑戰,不斷調整和優化自己的資訊安全管理系統;而這套方法論除了用在資安管理,在你我的人生旅途上,是不是也很需要這樣一套方法論,來指導我們順利朝目標前進呢!