管理的四大環節,計畫(Plan)、執行(Do)、監督(Check)、改善(Action),除了ISO 27001外,其他的ISO標準也是基於這四大環節來制定,透過心智圖使大家易於了解整份標準如何在各階段實施,當然為了達到每個環節的目標,需要透過制定管理程序或是管理指引來達到管理的目的,舉例來說,5.領導作為的目標在於,為了推行資訊安全,必須建立一套有系統的管理機制,應包含可達到此管理績效到整體企業的資安組織,從決策層到管理層以至執行層能一以貫之的管理方法,各階層應定義相對應的角色與需擔負的權責與任務,這都需要透過明確的且書面化的制定,因此也就因應而生所謂的四階文件,管理政策、程序規範、指引辦法、工作表單。
除了左邊的PDCA外,右邊很重要的一部分就是"控制目標與措施",如何確保我們的環境是安全還是不安全,如果是安全,那安全的程度是如何界定,除了必須實施ISO27001標準所涵蓋的A5到A18的13項控制目標外還有133項控制措施要落實,這所有的控制方法也如同之前提的,需要明確的管理文件化過程,在實施各種控制措施後,最後如通過可公認的審核機制,如此可說我們具有基本的安全,而安全的程度的強化就是透過持續的精進與改善來達成。當然除此之外,如何評量安全與否還有一項重要的方法,就是風險評鑑,透過此方式找出組織中有那些部分具有風險,再視情況進行風險處置。
總結,希望透過此圖讓圖者理解ISO 27001管理系統的初步的概念
沒有留言:
張貼留言