ISO 27001 资讯安全管理系统 【解析】(三)

参、管理系统概述
品质管理系统应该是所有管理系统的基础，ISO/TC 176在制订品质管理系统的标準时，订定了七大原则(改版前称为八大定理)，这七大原则可以应用在与品质管理相关的所有管理系统，而资讯安全管理系统当然属于品质管理的一环。在运用这项标準时可以配合七大原则，使标準不只是一种规範，更能在原则下了解相关标準要求的合理性，原则如下：
一、客户导向
管理的重点在于满足客户的要求，并为超出客户要求而努力，可以採取的行动如后：
•将直接和间接客户识别为利害关係者
•了解客户当前和未来对于资讯安全的需求和期望
•连结组织的目标与客户的需求和期望、沟通及传达客户的需求和期望
•在考量客户需求和期望下，规划、设计、开发、生产、交付
•监控与审查客户满意度并採取适当的行动
•积极管理与客户的资讯安全关係，以获得持续性的成功
二、领导统御
各级领导者建立统一的目标、方向和人员参与，使组织能够调整其策略、政策、流程和资源，并创造条件，使参与的人能共同实现组织的资讯安全目标。在此所叙述的领导统御并不仅指最高领导者，而是整个组织内架构的领导统御，每一阶层都要发挥其应有功能，且对资讯安全做出相对应的贡献，可以採取的行动如后：
•在整个组织内传达组织的使命、愿景、策略、政策和流程。
•为组织各级别的行为创建并维持共同的价值观、公平和道德架构。
•建立信任和诚信的文化。
•鼓励组织在範围内对资讯安全的承诺。
•确保各级领导者都是组织中员工勇于任事的楷模。
•为人员提供所需的资源、培训和权力，以负责任的态度执行工作。
•激发、鼓励和认可人员的贡献。
三、全员参与
各个阶层领导者应鼓励所属人员参与有关资讯安全的事务，资讯安全管理系统是所有人的议题，并非只专属于资讯部门，这一点通常是所有推行资讯安全管理的组织最伤脑筋的地方，可以採取的行动如后：
•沟通所有人员，理解资讯安全的重要性。
•促进整个组织资讯安全的协同及合作。
•促进公开讨论、共享知识与经验。
•评估并确认人员对资讯安全的贡献、学习和进步。
•进行调查以评估人员对资讯安全的满意度，传达结果并採取适当的控制措施。
四、过程导向
如果将各项控制措施理解为相互关联的过程并作为一个连贯的管理系统来进行管理，这样就可以更有效地获得一致且可预测的结果。资讯安全管理系统由相互关联的过程组成，了解每一个关联性可使组织优化管理系统及其效能，可以採取的行动如后：
•定义系统目标和实现这些目标所需的过程。
•建立管理流程的权限、责任和归责性。
•了解组织的能力并在採取行动之前确定可运用的资源。
•将流程及其相互关係作为一个系统进行管理，有效实现组织的资讯安全目标。
•确保有必要的资讯可用于操作和改进流程以及监视、分析和评估整个系统的效能。
•管理可能影响过程输出和资讯安全管理系统整体结果的风险。
五、持续改善
成功的组织不会满足于现状，而是对内外部的变化确保能随时创造机会，整体管理系统能获得改善，可以採取的行动如后：
•在组织的各个阶层及部门建立持续改善的目标。
•对各阶层的人员进行教育训练，使他们了解如何应用基本工具和方法来实现持续改善的目标。
•确保人员有能力成功推动和完成持续改善。
•开发和部署相关的流程在整个组织中实施持续改善。
•追蹤、审查和确认持续改善的计划、实施、完成和结果。
•将改进的考虑因素整合到新的或修改的资讯系统和流程的开发中。
•察觉并认可持续改善的成效。
六、事实决策
决策是一个複杂的过程，并且涉及不确定性、多种型态、输入来源以及对它们的解释，这可能会是主观的意识，所以深入了解因果关係和潜在的意外后果非常重要，基于资料内容和资讯特性分析和评估，比较有可能产生预期的结果后执行决策，根据事实、证据和资料分析可提高决策的客观性和信心，可以採取的行动如后：
•确认、监控与审查关键指标以展示组织资讯安全绩效。
•将所有资讯提供给需要的人员。
•确保资料和资讯足够準确、可靠和安全。
•使用适当的方法分析和评估资料和资讯。
•确保人员有能力根据需要分析和评估资料。
•根据经验和直觉来做出决定并採取行动。
七、关係管理
为了获得持续的成功，组织需要管理与利害关係者（例如供应商），因其会影响组织的绩效；当组织管理与所有利害关係者的关係以优化其对绩效的影响时，更有可能获得持续的成功，与供应商和合作伙伴等供应链的关係管理尤为重要，可以採取的行动如后：
•确定相关的利害关係者（例如：供应商、合作伙伴、客户、投资者、员工和整个社会）及其与组织的关係。
•确定需要管理的利害关係者之关係并确定其优先等级。
•建立平衡短期利益和长期考虑因素的关係。
•与有关各方共享资讯、专业知识和资源。
•衡量绩效并适时向相关单位提供绩效反馈，以改进持续改善计划。
•与供应商、合作伙伴和其他利害关係者建立协作式开发和持续改善活动。
•鼓励并认可供应商和合作伙伴的持续改善和成就。

前述七项原则，在之后的条文中会不断出现相关的应用。刚开始接触有关ISO条文的时候，心中总是有所疑惑，条文为何要这样写？这些需求到底是如何被ISO组织所讨论及制定认可？管理学上有没有一种逻辑性或是理论基础？回顾以前学习的过程，曾经阅读一本书：「从A到A+」，此书是美国Jim Collins所写，他研究美国上千家的公司，找到其中他认为从好到卓越且持续不断成长的公司，并分析这些卓越公司成功的原因。当然在当年他认为卓越的公司有些已经倒闭，但是在他的研究下找到了组织管理制度上进步的因素，所以在管理面是没有公式或必成之路的，而是归纳前人的经验，经验与运气会是管理成功的可能因素，前面ISO所叙述的七大原则应用在管理上也可以提高成功的机率。在A到A+的书中，作者认为组织的成长像一个飞轮，飞轮是连接引擎与变速箱的地方，最重要的功能是储存动能及延缓惯性，但是驱动飞轮的有几个重要的因素：第五级领导人、先找到对的人再做对的事、纪律的文化、刺猬原则、科技做为加速器，在这些因素都完备下，组织就能飞快地成长。在许多组织内都具备有相当的成功因素，从这些成功因素及组织成长的过程中，可以知道ISO管理系统的条文是分析了许多组织的经验，并汇集专家学者的意见，例如：第五章的领导统御就与第五级领导人息息相关，同样地在叙述组织的领导艺术与风格，所以在这样的架构下推行管理这件事，会更有效能，这样就不会觉得ISO为什么要写这些条文来为难大家，因为它真的是有意义的，在简单的叙述背后代表的是管理学的精神，而非硬生生的条文，在后面条文介绍时就可以发现。