ISO 27001 资讯安全管理系统 【解析】(三十五)

捌、第八章 执行
这个章节是要按照第六章计画的处理措施去执行，执行时仍应配合前面所有的条文，可以考量下列事项：
•第六章所决定之风险处理措施可以结合组织日常或通用流程进行程序化，不要叠床架屋、造成执行上的困扰以及负担，例如：风险评估后决定新进人员必须填写保密切结书以及进行系统帐号申请作业，此时可以结合原有人事部门新进人员报到的程序，在人员缴交基本人事资料时填写保密切结书即可进行帐号申请的事项，不必等人员报到后再由资讯安全管理人员另外找时间去请新进人员填写资料及进行申请流程。资讯安全管理系统不是一个独立的系统，他必须与日常作业及管理结合，这样才能正确发挥管理系统应有的效能。
•从日常作业流程中去找到资讯安全应该如何执行，在识别风险时以业务流程进行，所以在执行时也要从日常作业中去做，例如：我们从流程中发现当人员离开座位时，未将电脑登出时会有资料外洩的风险，那么我们应该设定萤幕保护或是要求人员离开时登出。
•面对各种情况时（例如人员转换职务时），对进行之活动有明确定义和沟通相关资讯安全风险事项(例如帐号权限转移)。
•依照5.3条组织角色、责任与职权，分配每项活动应有的权责，例如：机房进出管制应由谁来管制、谁来核准、谁进行检查、谁来报告等。在前面叙述条文的时候还没有将风险纳入考量，现在考量风险后採取控制措施，相对应的权责应该可以更加清楚地分配，也需要相对应的人能够了解自己的职责。
•充分分配资源，以确保相关活动可以在需要时进行。执行控制措施需要资源，一定要事先确认资源是否充足、有没有需要再补充或重新考量的问题，以确保执行能顺利。
•对每项过程的资讯安全风险控制措施进行有效性的评估，藉以达到持续改善并且符合组织的目标。