用户投稿在以前的管理系统标準强调的「预防措施」,在本章节中一样是有类似的措施,比如说矫正措施就是为了不让不符合事项再度发生,已经有预防的用意,但是ISO 27001所採用的高阶管理架构强调的是从第四章全景分析获得基本资讯,到第六章执行相关分析并决定其管控措施以面对机会与风险,这些管控措施也已经包含预防的作用在里面,到第十章的矫正是维繫整个管理系统循环的基础,就像我们在之前提到的飞轮一样,持续不断带领系统能够继续改善及精进,这就是10.2持续改进所要强调的,没有一个资讯安全管理系统是完美的,组织所面临的环境变化不断,如果管理系统不能持续精进,就无法配合组织的成长,借用从A到A+的一句话,良好是卓越的敌人,如果自认为管理系统目前这样就可以,那就没有成长的空间,所以持续改善就是利用前面所设定的各种机制,第四章全景分析、第六章风险规划、第八章风险处理及第九章监控审查、内部稽核、管理审查去发现管理系统可以精进的地方,例如:去年风险可接受等级为6,经过风险处理之后,今年需要处理的风险项目大幅降低,可以检讨将接受等级降低为5,让风险更加降低,确保管理系统得以持续改善,而系统化的方式有助于持续改善的执行,例如:管理审查设定持续改善的目标,经由系统管理方式去达成目标,更有助于持续改善不会流于形式及口号。可以进行持续改善的机会如下:
•内部稽核
•管理审查
•外部稽核
•安全事件
•安全审查和测试
•矫正措施
贯穿整个条文的要求,可以知道ISO 27001还是依照PDCA的循环来执行管理系统应该做的事,下图显示条文与PDCA循环的关係:
图三十三、PDCA循环
(一)计划
•建立控制目标并确认由谁负责实现目标
•建立控制措施以实现控制目标并确认负责执行这些措施的人员
•定义绩效指标,以对照控制目标衡量绩效
•定义测量绩效的过程,包括测量点、计算指标的方法和误差範围
•定义矫正措施以将控制措施保持在正常範围内
(二)执行
•持续衡量目标的实施情形,执行ISMS中的控制措施
•如果发现缺陷或不符合事项,则採取矫正措施
(三)查核
•监控控制措施指标并将绩效与控制目标进行比较
•如果控制措施超出正常有效範围,则对已实施的对策及其负责人员进行监督。
•根据控制目标撰写带有管理关键绩效指标的安全报告。这些报告应包括针对所需管理决策的行动建议,他们应加强超出正常範围但仍在误差範围内的安全措施。
(四)行动
•做出恢复控制措施的全部目标有效性所需的管理决策。决策应下达到营运阶层中以供实施。
•做出的决定应适当记录包括对应之说明。
写了一段时间的解析,终于发布完了,因为改版关係所后面的控制措施就不再发表,如果对控制措施有兴趣,可以等我将新版要求研究后再来写。
谢谢大家
微信扫一扫打赏
支付宝扫一扫打赏
