ISO 27001 资讯安全管理系统 【解析】( 十三)

陆、 第五章 领导统御
成功的ISMS是由上而下实行的，透过考虑利害关系者的要求及采取有效控制措施将营运业务流程的风险降低到可接受的水平，从而在营运目标与资讯安全之间建立联系，因此必须了解营运目标和要求，并且必须建立适当的组织（例如组织中风险管理流程的实施/适应），高阶管理人员的核准和支持是必要的，以确保强制性和接受导入的管理系统流程。但可惜的是，在资讯安全管理系统这一个领域，不论国内还是国外，除非高阶管理者本身具备资讯的知识，否则通常对於资讯安全，普遍都还是认为是资讯部门的事情，给予必要的支援即可，并不太需要过於重视，毕竟做好资讯安全这件事，并无法带来立即而明显绩效(尤其对於营运层面)；一直到某大公司因为机台中毒事件造成重大损失後，才又逐渐获得重视，但平心而论做好资讯安全管理没有绩效，做不好反而会损失，这样的情况对於各阶层管理人员都是一种重大的挑战。
在第五章主要叙述的内容是领导统御、政策以及组织角色与职掌，以往的管理学通常强调领导者的重要性，期待组织有一个能力优秀的管理者，他/她万事亨通，没有难得倒他/她的事情。在之前所叙述从A到A+的书中，特别有强调组织的领导者区分五个等级，组织如果有第五级领导者带领，一定能从好到卓越；但随着时代演变，各个组织演变至今，已经不能期待有甚麽事情都会的领导者。之前的ISO标准强调管理系统要有管理代表，而且希望管理代表要有一定的等级，现在ISO标准已经没有强调管理代表这件事，而是以高阶管理者作为取代。试想如果一个公司同时推行品质管理系统、劳工安全卫生管理系统及资讯安全管理系统时，如何期待公司有一个高阶人员对於这三项管理都能够精通？或许有，但并非所有组织都是相同的情况，所以新的ISO标准强调，「高阶管理者」其定义为一个人或一组人(组织的高层中)能够在组织内管理及控制ISMS，主要是这个高阶管理者能够分配资源、监控ISMS，并且必须参加管理审查、促进持续改善。

一、 领导统御
条文5.1领导力与承诺中已经规范了高阶管理者应该要做的事情，在此就不重复叙述，但是需要特别说明的事项如下：
• 高阶管理者专注於组织的策略性目标、资讯安全政策与组织策略方向的一致性，资讯安全目标也是为了达成组织目标而订定。
• 确保资讯安全的各项控制措施能够融入组织日常的流程中，不会被孤立或忽视。
• 依照第四章全景分析的结果适当分配资源(资金、人员、设备及场地)。
• 确保ISMS的沟通能顺利进行(上下及内外的沟通)。
• 藉由既定的内部报告机制(主管会议等)了解ISMS运作之情况及效能。
• 参加管理审查。
• 让各阶层管理资讯安全的人在对应的位置上发挥功能，找对的人去做正确的事情。
领导统御不是独揽大权，任何事情都要插手，尤其资讯安全管理所涉及的专业性及复杂度比一般管理要困难，如何让高阶管理者与实际负责资讯安全的人有一致性的看法，去获得适当的支持，是非常重要的，导入ISMS之前建议能向高阶管理者做一个完整的介绍及说明，因为需要执行ISMS的组织大多是因为法令或合约要求进行，而高阶管理者其实对於资讯安全并没有完整且清晰的概念。之前本人曾经协助过多个承办单位向高阶人员进行简报及说明，其效果甚佳；另外，在稽核过程中也会安排高阶管理者的访谈，以了解参与ISMS的程度，也可以从下列问题中知道高阶管理者究竟在资讯安全领域中负担哪些责任：

1. 组织主要营运范围为何？
2. 根据营运项目，组织资安政策为何？
3. 组织去年迄今有关组织背景的变化如何(全景分析、组织背景内外部议题的变动及利害关系者的需求与期望变动的情形)？
4. 根据上述的变化，组织所采取的措施有哪些？
5. 根据资安政策所订定的资安目标从设立迄今是否达成？新的目标需要设定吗？
6. 组织目前资讯安全的组织架构为何？
7. 对於资安组织架构内的人员，组织提供何种资源使其能够胜任目前的工作？
8. 组织年度投入维护资讯安全的资源有多少？