有效的ISMS績效與改進：關於第9條和第10條的見解

條款9：績效評估

第 9 條對於評估您的資訊安全管理系統 (ISMS) 的績效至關重要。它涉及提出一些關鍵問題，例如“我們是否取得了進展？”、“我們是否在改進？”以及“此資訊安全風險是否得到控制？”

監測、測量、分析和評估

第 9.1 條強調了評估資訊安全管理系統 (ISMS) 有效性的重要性。為此，您需要確定：

• 要測量什麼？
• 誰來測量和分析它？
• 以及如何確保結果的有效性。

首先，考慮利害關係人和相關方的資訊需求。找出最關鍵的需求並清楚闡述。例如，如果一項關鍵要求是您的線上託管產品必須始終可用，那麼您就應該監控和衡量伺服器正常運行時間，以滿足此預期。

但是，要注意不要衡量過多的屬性。重點關注大約五個高層次的指標，以確保系統能如預期運作並達到高效能。

內部稽核

第9.2條要求依風險狀況安排及進行內部稽核。高風險程序應頻繁審計，例如每年一到兩次，而低風險領域可以減少審計頻率。
內部稽核的關鍵原則包括：

1. 正直，
2. 公平的展示，
3. 專業護理
4. 保密性
5. 獨立
6. 循證方法

內部稽核應識別不符合項、風險和機會。詳細記錄審計結果，重點突出不符合項、風險和機會。

管理評審

第 9.3 條重點在於管理評審，以確保您的資訊安全管理系統 (ISMS) 保持適用性、充分性和有效性。這包括：

1. 確保資訊安全管理系統與業務目標一致，
2. 驗證流程和控制措施是否有效實施和落實。

雖然正式的審查會議並非強制性的，但它通常是全面評估您的系統的最佳方法。

第9條的關鍵要點

1. 明確利害關係人的資訊需求。
2. 制定措施來驗證這些需求是否已滿足（例如，網站/產品正常運作時間）。
3. 根據風險安排內部稽核。
4. 依照最佳實務進行審計工作。
5. 定期進行管理評審，以評估績效並討論任何異常情況。

第十條：改進

第 10 條代表計畫-執行-檢查-改進循環中的「行動」階段。在評估系統效能（第 9 條）之後，第 10 條指導您根據這些評估結果採取行動。

實施此條款可為您的業務帶來顯著價值。記錄不符合、實施糾正措施並持續改善流程，能夠徹底改變您的營運模式。

持續改進

第 10.1 條要求致力於持續改善。透過在會議和流程中定期討論資訊安全管理系統 (ISMS)，將其融入日常運營，使改進成為核心理念。

此外，應創建諸如全體員工管理評審會議之類的論壇，以溝通資訊安全管理系統（ISMS）的改進。這有助於培養領導力、促進溝通、鼓勵參與，並建立強大的安全文化。

不符合項和糾正措施

第 10.2 條概述了您應在資訊安全管理系統 (ISMS) 中記錄的不符合項類型，包括：

1. 未能滿足資訊安全管理系統（ISMS）要求
2. 不遵守法律或合約義務，
3. 行為不符合程序規定，
4. 供應商問題
5. 專案失敗，
6. 控制措施無效
7. 管理體系中存在的缺陷活動
8. 未解決的安全事件
9. 客戶投訴
10. 來自使用者或供應商的提醒，
11. 未滿足的監測和測量標準
12. 未達成的目標。

起初，這可能看起來令人不知所措，但係統地採取有效的糾正措施來解決不符合項，隨著時間的推移，這個過程會變得越來越容易。關鍵在於記錄所有事項。

例如，追蹤你所在國家網路安全機構報告的每一起資訊安全事件，例如…澳洲網路安全中心或者CertNZ在新西蘭，這包括惡意軟體、詐騙、電子郵件漏洞、設備濫用和拒絕服務攻擊的警報。請與您所在國家的網路安全機構聯繫，記錄並應對這些威脅。

處理不符合項的步驟：

1. 確定不符合項的範圍和影響。
2. 確定糾正措施以限制影響。
3. 將糾正措施傳達給員工。
4. 落實並監督整改措施。
5. 必要時採取進一步行動。
6. 與相關利害關係人溝通。

長期糾正措施：

1. 評估是否需要採取糾正措施。
2. 審查類似的不符合項。
3. 進行根本原因分析。
4. 分析對資訊安全管理系統的潛在影響。
5. 採取措施糾正根本原因。
6. 優先處理復發可能性較高且後果嚴重的領域。
7. 評估糾正措施的有效性。

依照標準要求，保存不符合項和糾正措施的書面證據。

第 10 條的關鍵要點

1. 培養持續改善的正向文化。
2. 鼓勵主動報告不符合項。
3. 立即採取糾正措施。
4. 找出根本原因。
5. 採取有效措施，解決最關鍵的根本原因。
6. 不斷完善您的資訊安全管理系統。

• 查看本系列的前一篇：從規劃到行動：關於第 8 條款實施的見解。
• 查看本系列下一篇：組織控制：制定政策和界定職責（A.5.1 - A.5.4）