[Day14]ISO 27001 标准：资源传达

今天一样是 ISO 硬硬的标准，第七节 资源 及 传达。
通常分切成【人力资源安全】及【文件化资讯】两个范围。

[考题]能力跟认知差异为何？
能力：满足工作之需求，足以胜任工作。
认知：知道什麽该做，什麽不该做？

人力资源安全

其实这里的人力资源安全常常被误解说：是不是在 ISO 27001 时，我们要把人力资源系统纳进来？
不是，其实我们只是要确认新进人员、离职人员或是职务异动的人员异动时：

• 人力资源系统有没有相关的记录，是否有相对应的单据

• 与其他资讯系统是否有相关权限的新增/修改或停用

• 资讯单位目前的人力、能力是否足以因应目前的需求去确认适不适任

  • 学历、经历、资历
  • 到职前的徵信记录

• 近期有没有相关针对人员的教育训练足以让能力提升！

• 验证资讯安全人员之必要能力：

  • 教育训练记录时数、人员、课程内容是否符合要求
  • 新进员工有没有依规定完成教育训练
  • 教育训练是否已传达给各位学员：常见的方式是透过教育训练後的问卷或考核为依据
  • 或是以原厂授课课明、考取证照也可以证明

• 对於沟通与传达的部份会抽样员工对於资讯安全的执行作业规范熟不熟悉

• 抽样时可以抽样近期发布的事项、时间、对象、人员，是否已经知道新公告。

沟通之要求：

5W1H：
- 沟通什麽？
- 何时沟通？
- 和谁沟通？
- 谁应沟通？
- 实现哪种沟通过程？

文件化资讯

就是 Paper Work 啦，应该要管制整个标准化控制流程。

500 人规模的流程不一定适用 5 人规模的公司。

在验证文件化资讯时，通常会从资讯安全政策的角度开始看，
但通常在资讯安全系统框架时，都会验证完以下内容：
(1) 确认完 4.3 ISMS 范围後，再来会看到一阶文件的 5.2 资讯安全政策 及 二阶文件 6.2 资讯安全目标
(2) 风险评监的部份，除了初次验证以外，通常会直接从 8.1 风险计画和控制、8.2 风险评监分析结果、8.3 风险评监处理结果去看，若是认为有缺漏的部份，才会回来看 6.1.2 风险评监计划、6.1.3 风险评监处理的文件
(3) 人力资源的部份：就会确认有没有与政策相应的教育训练规定
(4) 9.2 内稽、9.3 管审相关的程序书版本，近期有没有因应法规或是主要机关有新要求，需要改版的部份

所以，基本上如果以上的核心文件都看完了，我们就可以进一步来确认文管系统近期有没有新文件发布或是改版，
来进一步确认此次稽核范围或项目是否缺漏 或是 还有需要验证的地方。
或是针对现有文件确认有没有因应政策法规更新、资安事件或是组织架构异动 来做复核。

文件化资讯有几个抽样重点：

• 新进或是职务异动的人员，是否能透过文管而清楚明白组织的资讯安全政策 及 职能的作业程序
• 是否有因应政策而去改版发布的新规定，是否大家能依新版本去遵守执行
• 或是想知道组织内有什麽控制措施，也可以简单确认四阶文件中有什麽表单，进而确认是否符合组织规范
• 抽样请教对於 资讯安全政策、资讯安全的执行作业规范 >> 相关人员是否知道存放的位置或规定

或是在稽核的过程中，对於不清楚的文件、或是怕稽核期间双方认知有落差的时候，想要确认在哪一份文件，
也可以请求查看 文件一览表 或是 ** 文管系统清册 **，去进一步确认。

以往我们对 ISO 验证稽核就是文件作业，但稽核就是希望透过文件作业去验证有没有落实执行的过程，
要达到说、写、作一致性，就会透过文件进一步去验证是否落实。

再来，我们直接看标准吧！

= = = = = = = = = = ． = = = = = = = = = = ．= = = = = = = = = = ． = = = = = = = = = =

7. 支援

7.1 资源

组织应决定并提供建立、实作、维持及持续改善资讯安全管理系统所需之资源。

7.2 能力

组织宜采取下列措施。
(a) 决定於组织控制下执行工作，影响其资讯安全绩效人员之必要能力。
(b) 确保此等人员於适当教育、训练或经验之基础上能胜任。
(c) 於适当时，采取取得必要能力之行动，并评估所采取行动之有效性。
(d) 保存适切之文件化资讯，作为胜任之证据。
备考：适用之行动可能包括，例：对现有员工提供训练、指导或重新指派，或是雇用或委外胜任人员。

7.3 认知

於组织控制下执行工作之人员，应认知下列事项。
(a) 资讯安全政策。
(b) 其对资讯安全管理系统有效性之贡献，包括改善之资讯安全绩效的益处。
(c) 未遵循资讯安全管理系统要求事项之可能後果。

7.4 沟通或传达

组织应决定，相关於资讯安全管理系统之内部及外部沟通或传达的需要，包括下列事项。
(a) 沟通或传达事项。
(b) 沟通或传达时间。
(c) 沟通或传达对象。
(d) 沟通或传达人员。
(e) 进行有效沟通或传达所采用过程。

= = = = = = = = = = ． = = = = = = = = = = ．= = = = = = = = = = ． = = = = = = = = = =

7.5 文件化资讯

文管系统的存取授权。

7.5.1 一般要求

组织之资讯安全管理系统应包括下列内容。
(a) 本标准要求之文件化资讯。
(b) 由组织所决定对资讯安全管理系统有效性，必要之文件化资讯。
备考：各组织之资讯安全管理系统文件化资讯内容，可能因下列因素而异。
(a) 组织规模，以及其活动之型式、过程、产品及服务。
(b) 各过程及其互动之复杂度。
(c) 人员之能力。

7.5.2 制订及更新

於制订及更新文件化资讯时，组织应确保适切之下列项目。
(a) 识别及描述(例：标题、日期、作者或参引号码)。
(b) 格式(例：语言、软件版本、图形)及媒体(例：纸本、电子)。
(c) 合宜性及适切性之审查及核准。

7.5.3 文件化资讯之控制

应控制资讯安全管理系统及本标准要求之文件化资讯，以确保下列事项。
(a) 其於需要处及需要时为可用及适用。
(b) 其受适切保护(例：防止漏失机密性、不当使用或漏失完整性)。
为控制文件化资讯，组织应於适当时，阐明下列活动。
(c) 派送、存取、检索及使用。
(d) 储存及保存，包括可读性之保存。
(e) 变更之控制(例：版本控制)。
(f) 留存及届期处置(retentionanddisposition)。
於适当时，应识别及控制由组织所决定对资讯安全管理系统之规划及运作为必要之外部来源的文件化资讯。
备考：存取意谓关於文件化资讯仅可检视之许可、或检视及变更文件化资讯之许可及权限的决策等。

参考文献

国家标准(CNS)网路服务系统：https://www.cnsonline.com.tw/

恐怖游戏推荐：瘟疫传说：无罪(A Plague Tale: Innocence)

https://store.steampowered.com/app/752590/A_Plague_Tale_Innocence/

跟着年轻的艾蜜西亚与弟弟雨果展开令人揪心的旅程，体验他们在历史最黑暗之时的险境。在遭到宗教裁判所士兵追捕，以及潮水般鼠患的包围下，艾蜜西亚和雨果将逐渐了解彼此，继而相互信赖。当两人在逆境中竭力抓住微弱的生存希望，也将在这残忍无情的世界中找到生命的意义。

很推荐，不雷自己玩～