組織控制：制定政策和界定職責（A.5.1 - A.5.4）

A.5.1 資訊安全政策

與大多數 ISO 標準一樣，獲得管理階層的承諾並制定管理方向是成功實施 ISMS 的關鍵。

基本上，滿足這項條款很容易，因為第 5.1 條和第 5.2 條的相關工作已經完成。因此，先前的部落格文章已經對此進行了介紹：條款 5：重點在於領導力、承諾、責任和資訊安全政策。

關於政策的製定、建立和實施，主要經驗總結如下：

• 政策必須傳達、理解和執行。
• 管理階層需要展現對這項政策的承諾。
• 組織各個層級都需要展現承諾。
• 這項政策無需複雜。

一種方法是手動連結到資訊安全策略。

A.5.1 的第二部分規定，政策需要按計畫的時間間隔進行審查，或在發生重大變化時進行審查。

實現這一目標的最佳方法是每年舉辦一次活動或會議，審查資訊安全政策，以檢查該政策的適用性、充分性和有效性。

A.5.2 資訊安全角色與職責

本條款首先闡述職責。與任何管理體系一樣，明確每個人的角色、職責和權限是系統成功的關鍵。

首先，繪製組織架構圖，清楚展現公司所有成員之間的關係。這份結構圖應傳達給所有員工，以便大家在出現任何問題時都能清楚了解報告關係。一旦組織架構和報告關係明確，務必確保每位員工都透徹理解自己的工作職責。

每項工作職責的詳細資訊都需要以書面和口頭兩種形式提供。如果只提供工作職責的書面概述，員工就沒有機會進行澄清、提問或提出任何疑慮。光是簡單的討論也無濟於事──你們雙方可能都會忘記討論內容的80%。

員工了解其他同事的工作職責的重要性常常被忽略。理解團隊成員的職責有助於每個人認識自己和他人的付出所帶來的影響。這有助於員工從全局角度看待問題，並體會到團隊合作對於實現預期目標的重要性。

A.5.3 職責分離

下一條與明確職責類似，是職責分離。該標準明確指出，職責分離有助於「減少未經授權或無意中對組織資產進行修改或濫用的機會。因此，請確保您的系統能夠有效地劃分職責，讓不同的人員和角色在將工作成果推送到生產環境之前，或在執行關鍵交易之前，對彼此的工作成果進行審查和檢查。

A.5.4 管理職責

這項管控旨在確保管理階層了解其職責，即確保員工遵守資訊安全政策和程序。實現這一目標的最佳方法是將資訊安全融入現有流程中。

首先，我們建議從完善的新進員工入職培訓入職講解開始。更新您的入職培訓體系，使其包含資訊安全內容。根據您現有的體系，您應該涵蓋所有相關政策、資產管理、系統存取控制、樓宇存取控制、密碼強度、惡意軟體防護、資料備份、軟體控制、網路安全、採購、安全事件處理和業務連續性等方面的內容。

接下來，為所有員工實施持續的培訓和教育計畫。將上述內容作為一項持續性工作來進行。一次性的訓練和教育課程通常不足以解決問題。如果不定期進行後續培訓提醒，員工很容易忘記所學。

另一種方法是每月與全體員工召開一次審查會議。在這些會議中加入一些資訊安全的教育和訓練。這些教育和訓練可以記錄下來，作為每位員工的職涯發展考核。

• 查看本系列的前一篇：有效的ISMS績效與改進：關於第9條和第10條的見解。
• 查看本系列下一篇：保持聯繫並隨時了解威脅：A.5.5 - A.5.7 條款的提示