從規劃到行動：關於第 8 條款實施的見解

8.1 運轉計畫與控制

我們將從 8.1 營運計劃和控制開始。

本條款的主要內容是，您需要實施必要的措施來滿足資訊安全要求。這些控制措施是您在資訊安全管理系統 (ISMS) 規劃中確定的。

你還需要能夠證明你正在採取措施實現你設定的目標。

證明您符合這些要求的最佳方法之一是提供記錄。例如，如果您表示將實施一項控制措施，要求每月進行審核並簽署確認，那麼您應該能夠提供以下證據：

• 一份調查報告
• 簽字確認單
• 日誌等…

你需要思考如何應對變化。這包括計劃內的變化和意料之外的變化。每個人都知道，有時候事情就是會發生。這沒關係——重要的是接下來會發生什麼。

要達到標準，你必須

• 能夠證明你已經識別出該變更可能對你的系統產生的任何影響，
• 您已採取一些措施來幫助減輕任何影響。

當然，這需要記錄下來，以便留存你所作所為的證據！

這該如何實現？

根據我們的經驗，最常見的做法是客戶在其資訊安全管理系統 (ISMS) 手冊中建立章節，重點關注業務流程的營運方面。這樣做時，請確保您的程序和政策與 ISO 27001 標準中確定的行動和控制措施保持一致。我們先前關於第 6 條「風險、機會、目標和計畫」的部落格文章對此提供了建議。

接下來，你需要證明你言行一致。為此，你應該創建記錄。使用活動管理工具或日曆來提醒你已安排的評審、會議、審計等，然後在文件管理系統中為每次會議/活動建立一個資料夾或其他位置，用於保存和儲存這些活動的證據。這樣，你就可以回顧數月的管理評審會議記錄或備份日誌。這是一種非常便捷的方法，可以快速識別問題所在，並進行必要的更改，從而始終符合資訊安全管理系統 (ISMS) 的要求。此外，當需要進行 ISMS 審計時，所有資料都將集中在一個地方！

8.2 資訊安全風險評估

接下來是第 8.2 條 資訊安全風險評估。

標準第 6.1.2 條要求您定義並套用資訊安全風險評估。第 8.2 條是關於表演僅此而已！

依照流程進行風險評估，定期安排評估，必要時也可臨時安排評估，當然，也要記錄評估結果。

為此，您可以使用以下 3 步驟流程來評估您的資訊安全風險。

• 首先，確定你的資產。
• 其次，確定這些資產的資訊輸出。
• 最後，將這些資訊分類，並確定資訊的優先順序。

例如，個人資訊、財務記錄和密碼可以被歸類為「機密資訊」。這些資訊應被賦予更高的優先順序或更高的風險評分，並應採取額外的控制措施來保護它們。

在對資訊進行分類時，不要忘記貴組織用於區別於競爭對手的任何知識產權或專有資訊。我們經常發現這些資訊被列為低階機密。試想一下，如果競爭對手獲得了這些資訊會發生什麼事。

8.3 資訊安全風險處理

最後是 8.3 資訊安全風險處理。

這要求您實施第 6.1.3 條中定義的資訊安全風險處理計劃。與 ISO 27001 的所有事項一樣，請務必記錄所有發現的結果。

每次安全風險評估後都必須執行風險處理流程，以確保採取正確的緩解措施。

風險評估完成後，應將風險轉移到資訊安全風險登記冊中，並確定相應的控制措施/處理方案。 ISO 27001 附錄 A 中所列的控制措施是一個很好的參考。其他控制措施可以在資訊安全框架中找到。 美國國家標準與技術研究院，並且在澳洲網路資訊安全手冊（ISM）和紐西蘭ISM等等。結合使用多種控制清單可以提供更全面的控制選項，讓您更準確地定位並防禦對您的特定組織和行業最重要的威脅和風險。

然後可以根據先前設定的優先順序來實施選定的控制措施。優先處理高優先風險，以此類推。

結論

好了，就是這樣。其實很簡單。只需實施你在 6.1.1 和 6.1.2 中創建的風險控制措施和目標。

要點：

1. 制定風險控制/處理措施的實施方案。
2. 實現控制功能。
3. 確保制定變更管理流程，以因應將要發生的變更。
4. 務必保留記錄，以證明您已達到各項控制措施和目標。

• 查看本系列的前一篇：理解第 7.5 條款：文件化訊息。
• 查看本系列下一篇：有效的ISMS績效與改進：關於第9條和第10條的見解