管理制度建置方法論
所謂「管理制度」就是治理一家企業、組織所有規定的集合體，也是協助主管人員管理企業、組織的一整套作業準則，包括勞工安全衛生管理(可參考OHSAS18000標準)、業務持續運作管理(可參考BS25999標準)、資訊服務管理(可參考ISO20000標準)...等等，當然資訊安全管理(可參考ISO27001標準)也是其中的一環。

尋求專家顧問的協助
目前導入ISO27001標準的範圍都著眼於資訊部門或侷限某個資訊系統，如果本身沒有實際的資訊系統管理經驗，應該很難提出有效且實用的建議。至於要如何管理好資訊系統呢？！只要有心，想必企業、組織本身的ISMS建置小組會有著更多的想法。
但是，ISMS建置小組終究缺乏建置ISMS的實務經驗，依個人建議，如果時間不是很急迫的話(有些則因客戶、上級單位或法令的要求，一定要在某個時間點拿到證書)，可先以購買鐘點的方式來聘用專家指導。不過，自我摸索的期間必然會拖長。而購買鐘點的方式可考量三個階段，初期指導如何建置，過程中協助檢視方向、方法是否正確，畢竟有些「眉角(台語)」是需要有專家指點的，最後階段再看看有沒有符合ISO27001標準要求，也就是我們所謂的預審或預評，如果一切都沒問題的話，就算大功告成了。
反之，若要在短時間內取得證書，就非得經驗豐富的顧問專家不可，此時，就看時間跟成本如何取捨了。不過，還是要提醒承辦人一下，千萬別為了節省少許的費用，結果反而是雇人來找碴，除了浪費錢外，提的建議不是很實用，作業效能受影響，且事件發生後造成的聲譽損失，恐怕更是難以估算。如果多花點錢找到好顧問，雖然表面上是多花了一點錢，但是，獲得到的實質效益也會因作業效能增加及安全提昇，反而變得更物超所值了。

能夠「實用」的管理模型
個人從事資訊系統開發與網路管理工作有十幾年了，剛開始對於要踏入ISO標準的研究產生相當大的排斥，因為管理制度最麻煩的就是管「人」，不像管設備那樣，只要指令正確，設備的動作大多會如你預期。然而，現在我相當慶幸當初有跨入這個領域鑽研，讓我學習到了很多的管理理論和實務、獲益良多。之所以這樣講，乃在學習ISO27001標準的過程中，學到了一套相當實用的理論，，套用這套理論─戴明先生講述的規劃、實施、檢核、行動(Plan-Do-Check-Act, PDCA)理論模型，問題也大多可迎刃而解。

PDCA的施行
就好像一場簡報，如果你也採用這套理論，首先(Plan階段)，分析聽眾群，根據他們的需求、渴望來規劃簡報內容，然後(Do階段)，依內容講授，融入之前想好的橋段、音調與肢體語言，接著(Check階段)，檢討這次講授的內容，群眾反映如何？有需要改善或彌補之處嗎？最後(Act階段)，針對問題根因所在，不能只看徵兆，要確實分析出真正原因，做經驗學習(lesson learn)、提出補救措施，並量測所採用措施是否有效？若無效，再改用或加強其他措施，直到問題小到可以接受、忍受或消除不復發生。現在ISO管理制度標準所引用的PDCA理論與各家管理理論皆有異曲同工之妙，如下圖1。換言之，雖然透過資安管理制度學習到這個理論，但是，卻能應用至專案管理、資訊稽核、IT治理…，甚至到公司管理上。


▲ P-D-C-A管理模型圖。


意會大於言傳的PDCA
在這個模型中每一個PDCA循環的每一階段(P或D或C或A)，或多或少都有PDCA的再運用，例如，在規劃(P)中，有些專案經理可能會自己試填表單(D)，然後再檢查看看(C)，有問題再予以調整(A)；有些專案經理規劃完只做檢查(C)跟調整改進(A)，才算完成整個規劃(P)。所以，得視專案經理個人的作風或情況的複雜度、重要性來巧妙地運用PDCA。而且，在每一個PDCA循環之後，又是另一個PDCA循環的開始，以便做到持續改善的境界。這些「意會」大於「言傳」的經驗，只能靠各位親自實作，才會比較有深刻的感受。

建置策略
目前顧問在輔導建置或維運ISMS時，所採用方法論大致已趨成熟，如下圖2，所有輔導顧問使用的方式應該大同小異，也都是遵循PDCA的管理模型運作。但是，既然講「理」，理論模型雖然各家可能一樣，但執行方法及手段就不全然一樣，可能會針對組織的特性而有所不同。

實務導入的小技巧
例如，在跟企業主管講資安觀念的建立時，可問：「請問 貴單位要是出了資安問題，誰來負責呢？」，通常大家會望向主席(首長、副首長、資訊長或資安長等)，這時大多能激起主席的危機意識，推派負責人選來保證資安不出問題(雖可說找位墊背的，不過，同時也等於當眾宣示，給了負責人執行資安專案的權杖或授權)。
或者，展示一下電腦入侵手法，讓在座的主管們體驗一下驚人的場景，認知一旦沒做好基本的安全控管，屬於主管的個人資訊就是這麼容易被偷走，也激起他們的同理心，如果不好好訂定制度規範、約束下屬，等於害了高階主管、連累自己。當然，也要告知簡單的防護做法，並透過種種方式，讓他們確實了解管理制度是在協助他們本身。上述這些方法只要有能力的ISMS代表或承辦人，帶領有創意的ISMS建置小組是可以達成自建任務，甚至有時候還做得比顧問更好。

全部導入、局部驗證的規劃
進入第一階段─Plan，乃了解各方面的需求及策略方向。我們建立ISMS就是要先了解高階主管的需求，讓高階主管確實瞭解並指示出單位內亟欲保護的資訊與不可中斷的服務有哪些？進而才能選擇制度要套用或適用的範圍。
範圍的選擇有一種稱為「全部導入、局部驗證」，就是在時間可能有限的情形下，先讓大範圍的人員參與，主要是先了解ISMS的精神所在，也因為「全部導入」的關係，所以，訂出來的制度是全體必須遵守。但由於採「局部驗證」的方式，所以，強制某一小部份要照著規定執行，而非驗證的那一部份就請他們儘量依規定執行作業。
企業、組織的資源有限，不可能讓每個部份都做到完善的保護，所以，必須知道孰重孰輕，排出優先順序予以管理、保護，才知道要將有限資源投入迫切需要部份。同時，才能知道要選擇哪些(範圍內的)有關人員來參與制度規範的訂定呢？

由資深人員成立小組
了解方向及範圍後，接著，就是成立一個組織來制定規範，而這個組織除了取得「各階層」主管所授權的權杖外，還要由熟悉作業的資深人員組成。之所以會如此強調，是因為有太多的單位，認為資安不重要，甚至管理制度不見得要訂，所以，都將這樣的工作委由工作負荷較輕的員工，管他是資深或資淺的，或者，由於資深員工都推說其業務忙不過來，沒有時間再參與資安，又或者根本請不動這些資深員工，於是惡性循環的結果，往往訂出來的制度規範反而更加深大家對管理制度錯誤的理解。
管理制度就像家規一樣，應該由各級主管來訂，或委由熟悉作業的資深人員來訂，而被各級主管認可。試想，如果一套管理制度由新進或不熟悉作業的人員(來訂，那麼所有員工會去遵守的機率就更是微乎其微了。

強調各階層主管的配合
我們還是要特別強調一下，「各階層」主管的支持是有效建立適合的管理制度之最重要關鍵因素之一(強調「各階層」是看到有些單位只有高階宣示，中階、基層主管多陽奉陰違，這樣是不能有效地建立適合的管理制度。相反地，資訊部門主任很重視，但無法取得總經理等高階主管之人、物力資源等奧援，這樣還是不能有效地建立適合的管理制度)。
甚至，有些主管因準備屆齡退休，想安穩渡過任職期間，就僅著重在其不得不去做的執掌業務，對於額外多出來的工作，心想能不碰就儘量不與它有所牽連。所以，多將資訊安全往資訊部門推，而資訊部門也因為掛名「資訊」的原罪，通常都會概括承受所有資訊相關的工作，難道業務部門就沒有資訊安全的問題嗎？遇到這種事可說是一種所託非人的案例。

ISMS的認知與資安標準(ISO27001)銓釋
ISMS建置小組取得主管的信任、資源，以及授權，當然也被賦予某些責任，除了上述所提的管理技巧外，對於資安專業領域(包括標準與技術面)的認知也一定要深入的研究，接受完整的訓練才能建置良好的ISMS (至少包括ISO27001標準、風險管理、業務持續運作管理及內部稽核管理等)。

深入了解ISO規範的意函
在資安專業領域上，首先，要了解什麼是ISO27001，尤其是「她」每一段話的內涵。我們知道ISO是結合一群專家討論完成的建議規範，如果將她當成一般小說來看，只讀過一次就做出詮釋，必然有所誤解之處。像自己每經過一個資安專案都會回過頭來再看看標準的條文描述，每次都有不同的體會，方才了解為何當初這群專家要訂出這樣的建議。
資安也不能無限上綱，把所有人員管得動彈不得，我們知道安全跟效率要取得平衡點，不能因為要導入資安標準，使日常作業窒礙難行。但也不能因為要作業效率卻完全不管資安問題。例如，通常應用程式或服務均有功能及安全要求，功能面的要求就好比一場球賽的進攻，而安全面的要求就如球賽的回防，只重進攻不管回防，或者，只重回防而不管進攻都很難在球賽中得到最後勝利。建立ISMS一定要面面俱到，並與其他制度配合、融合在一起(也就是近來強調的制度整合)，如下圖3，絕對不能單方面思考。


▲ 整合制度概念圖。


文件制訂階段
當這些種子人員經過特定的訓練，並有一定的資安認知後，接著就可進入下一階段─文件制訂。文件制訂過程常常需要經過討論，如果聘用顧問的話，通常他們會瞭解現行作業後，修改並提供文件範本，ISMS建置小組人員只要針對內容的適用性討論，加入或刪減少部份的內容，比起自建制度文件的組織，文件要無中生有快得多了。而文件討論務必先做分析，將「利害關係人(stakeholder) 」找進來一起討論，而且也要避免專制獨行，需要廣納各方意見，以免建置完成的制度在宣佈實施後，意見一大堆而終究無法落實，畢竟ISO講求的是說寫做一致的精神，如果大多數的人不同意或做不到，這樣的制度就很可能會流於形式。

進入推展落實階段
文件制訂得差不多，就準備進入第二階段─Do，在這階段很重要的活動之一是要告訴相關人員其作業應該遵守什麼規定？而這宣導是無法一蹴可及或一次到位的，一定要經過一而再、再而三地宣導才能轉化他們的陋習，想想這麼多年來根深蒂固的想法，怎麼可能在一夕改變呢？所以，在推動過程中一定會遇到種種的壓力或阻撓，可能讓你感到沮喪，此時身為承辦人的你，絕不要因為推動上一時的挫折而放棄。
在推展制度落實會遭遇的阻撓，一者是因為組織內成員的向心力不足，普遍一付事不關己的態度，只要他管的業務不出資安事件就好；另一者是抱持僥倖心態，總想應該不會那麼倒楣吧！所以，要推動就要用一些方法，如獎勵、懲處等。

風險評鑑
其次是執行風險評鑑，我們必須先用一套科學的方法去評估，找出高風險且亟待解決的問題，看看要從制度面或技術面(實體、網路或系統等)加強？對於發生率高的風險，我們會提出辦法解決(避免它發生或減低發生機率、降低發生衝擊的矯正/預防措施)；對於發生率低、衝擊不大的風險，我們往往會靜觀其變；而對於發生機率低，但是，一旦發生時衝擊很大的情況，我們就會用業務持續運作計畫來予以因應。

檢查驗證階段
接著，進入第三階段─Check，制度實施一段時間就可自組團隊進行組織內部的檢查(通常我們稱之為內部稽核)，這一活動當然包括很多規定，例如，不能查自己負責的作業或稽核人員的組成、資格等等。內部稽核結束後，就要進行管理階層審查，此時就是來檢視整個ISMS的規劃與執行，是否就是當初主管們所要的ISMS呢？因主管的支持是導入ISO27001成功的最關鍵因素，所以，必須參與審查會議的決策，如果管理制度有所偏離，他們必須決定要怎麼做，決定是否投入足夠的資源來預防高風險資安事件發生及發生後的處理等等。

改善階段
第四階段─Act，有問題進行討論，找出根因，提出改善措施並施作，而且要訂出量測方式，檢視施予的控制措施是否有效？最後，對於整個制度運行有信心後，就可聘請公正第三方(Certification Body, CB)來進行驗證，這些公正第三方都是經過證書核發機構(Accreditation Body, AB)授權，有些經過國際認可的AB(如UKAS, ANAB等)，有些則是經過國內認可的AB(如TAF)授權，這些驗證單位的認證費用價差很大，如果承辦人開立的規格只要求「通過ISO27001認證」，不是沒做功課，就是有其他意含了。

將PDCA內化為習慣
最後，讓這股風氣形成企業、組織的文化是相當重要，也就是我們常說的要內化或轉化為習慣，這樣才能夠讓制度規範在所有人員的心中根深柢固，而這樣的制度也才能長長久久，而且換誰主政都不會有太大的影響(當然，除非新的主政者的策略方向和前者有很大的差異，或大環境的變化而不得不做徹底的改革則另當別論)，否則，就如你所看到某些組織常常忘了執行資安相關規定，等到查核的週期到來，才又開始補單了。

(原文刊載於RUN!PC雜誌：2010年03月號)