作者:李美雯 / 臺灣大學計算機及資訊網路中心資訊網路組程式設計師
經由風險評鑑確認重要資產
透過風險評鑑能有效了解單位中風險大的資產,可針對這些重要資產,購買相關設備或服務有效降低資產風險,以控制單位的整體風險。
提升單位人員資訊安全認知
資訊安全要做得好,必須靠個人養成良好的網路使用習慣。在導入ISMS 的過程中,透過各項流程的要求,以及不斷對主管以及一般人員推行教育訓練,資訊安全概念逐漸落實於單位人員日常作業行為之中。
提高安全作業程序
ISMS無論是對於系統安全、網路安全、實體安全、人員訓練或資產管理皆有相對應的標準作業程序。透過ISMS的推動,將資訊安全的各個層面重新檢視一次,進而訂定標準,要求單位人員遵守。最後藉由不斷的執行、審查,以確定各項作業程序的有效性。
提供一個持續改善的架構
透過ISMS的PDCA(Plan-Do-Check-Act)循環,單位可以先從風險評鑑中風險最高的資產開始管理起,一步一步透過不斷的計畫、實行、評估、改善。可藉由不斷完成一小部份的控制項,最後有效彙整達成組織的資訊安全管理目標。
參考資料
自來水公司(SOC)安全監控中心
http://www.dgbas.gov.tw/public/Data/6471553671.pdf