這幾年來K大俠前後在兩家公司,都負責協助執行ISO 27001的認證專案,也不辱使命的完成驗證,讓這兩家公司通過BSi英國標準協會的檢驗,取得資安管理的證書。
回顧這兩次的驗證活動,實在有非常大的差異可以聊。舉例而言,前公司(以下簡稱F銀行)的屬性是金融業者,現任的公司(以下簡稱S網路)則是ISP網路服務供應商,公司業務與服務內容就完全不一樣。在參與的人數與單位上也不同,F銀行當時負責的是信用卡單位所有部門,包括管理、風控、業務、行銷、客服、作業、技術等將近1000人的組織; 而S網路則以系統服務為主軸,以IT部門42人作為驗證的範圍。
而在資源的運用上,F銀行找來顧問公司作為輔導,當時一起共事推動ISMS的夥伴有2位,所以是3個人。而在S網路則是完全自行建立體系,由2人組成的資安部門一手完成所有驗證的準備事項。
正由於驗證規模與公司性質的不同,F銀行前後花了兩年以上的時間才完成ISO 27001:2005的驗證,而S網路公司在專案提出後,大約七八個月就完成準備,如果不是剛好遇上機房搬遷,應該還可以更快完成。
如果有人問K大俠,建立內部ISMS,並通過驗證的關鍵在哪裡,我想我一致的答案都是:溝通與妥協。
什麼?溝通可以理解,資安還可以妥協喔?沒錯,資安是需要妥協的,但我這邊指的是,使用者、管理者與技術支援三方的相互妥協而達成共識,這樣的過程,需要良好、誠意的溝通。
另外,在S網路公司這邊,其實學到不少觀念,遠多於先前從F銀行請的顧問身上得到的,一方面是因為在這裡所有一切都得自己PDCA(Plan->Do->Check->Action),另一方面則是因為現在共事的主管,人雖然感覺不怎麼好相處,但是在判斷與資源的運用上有其獨到的想法,讓K大俠受教不少。至於有哪些細節,恐怕不是三言兩語可以說清楚的。
最後誠摯的感謝過去與現在合作過的夥伴們,因為你們的努力,讓客戶與公司的資訊資產,得到更好的保護,願神賜福給各位!
相關新聞連結:
3 則留言:
Keke哥帥喔!
榮耀神的見證
感謝主!
"人雖然感覺不怎麼好相處",這是資訊人的通病嗎
張貼留言