用户投稿第七章 支援
本章节所叙述的内容都是支持一个资讯管理系统运作的事项,在第五章我们获得高阶领导者的支持,建立资讯安全相关的组织,现在我们需要将管理系统实际运作起来,这就是本章所要叙述的重点。
一、资源
前面曾经提到资讯安全管理系统所需要的资源是资金、人员、时间、资讯安全知识、设备及场地,所以组织必须事先衡量资讯安全管理系统及其相关活动所需资源的数量及品质,设法获得这些所需的资源(例如:聘请资通安全专业人员),持续提供资源并在与资讯安全管理系统相关的流程或活动中维持这些资源,最后审查资源的适切性,并考量是否需要新的资源。以适用资通安全管理法的机构来看,目前按照法令规範各级机关应指派资安专职(责)人员,需要强调的是主管机关已经开始要求各组织投入资讯安全预算佔整体预算及资讯预算的比例,所以在资源投入方面应该要有审查机制,以确认符合法令要求。就一般企业而言,前面已经有叙述ISO 27001是以风险管理的概念执行管理系统,所以就组织能够承担的风险订定管控措施。请留意执行管控措施是需要资源的,所以以最有效益的资源达到组织自己所能接受的风险,这才是资源管理的意义,资源管理流程如下图:
二、人员能力
人员能力代表有足够的知识与技能达成所预期的结果,包含经验、知识及智慧等因素,一般区分两种,通用:软性因素、可信赖度、基本的技术及管理;特殊:特别领域知识,例如:风险管理。获得高阶能力的方式有参加研讨会、课程或实作练习等。如果组织本身没有具备能力的员工,也可以委外或僱用有能力之人员,端看组织对于此项能力的需求,如果是短暂性的,可以短期聘请有能力的人员。组织对于人员能力管理可以依循下列步骤:
(一)依照资讯安全管理系统内的运作实务,决定哪些人员需要具备何种能力,并将其叙述于工作职掌内。
(二)计画并执行相关作为,使得资讯安全管理系统内相关人员都能够具备所需的能力,例如:透过训练、指导、重新分配职务等作法。
(三)聘用有能力的人员。
(四)量测前述作为的有效性,例如训练成绩、确认新进员工符合能力要求。
(五)确认人员符合他们的职务(能力要求)。
(六)随着时间及情况的变化,调整人员所需的能力(新的技术、新的工具等)。
微信扫一扫打赏
支付宝扫一扫打赏
