資源、能力、意識、溝通：解讀 ISO 27001 條款 7.1 – 7.4

第 7.1 條 - 資源

這裡沒有什麼秘密；這條條款簡潔明了。組織必須識別並提供建立和維護資訊安全管理系統 (ISMS) 所需的所有資源。以下是管理資源的五個關鍵步驟：

1. 估算所需數量。
2. 獲取所需物品。
3. 提供所需物品。
4. 保持必要的狀態。
5. 評估進展。

「資源」一詞涵蓋範圍廣泛，但關注諸如合格員工和時間等類別至關重要。時間的確是一種需要精心考慮的資源。要做到這一點，就需要將資源管理融入日常業務流程中。利用資產登記冊（用於管理設備）、軟體和人力資源系統（用於管理人員和時間）等工具，可以集中化並簡化此流程。 Jira 和類似工具在計劃階段追蹤任務、工作流程和資源需求方面發揮著不可或缺的作用。

第 7.2 條 - 管轄權

確定資訊安全管理系統 (ISMS) 相關工作所需的能力並確保員工具備這些能力是本條款的核心。人力資源系統中的技能矩陣可以作為追蹤和維護能力的有效工具。這包括記錄過往經驗和各種形式的知識積累，以及相關認證。無論是內部員工還是臨時填補空缺的外部承包商，都必須完整記錄是否符合 ISMS 要求。

第 7.3 條 - 意識

意識和能力相輔相成。確保員工了解資訊安全管理系統 (ISMS) 的各項職能以及自身角色如何影響這些職能至關重要。不僅如此，員工還需要理解提升資訊安全的重要性，以及不遵守 ISMS 要求的潛在後果。雖然員工無需逐字背誦資訊安全政策，但他們應該理解自身的職責以及自身角色在組織中的定位。這可以透過書面政策、入職培訓流程和定期會議來實現。

第 7.4 條 - 溝通

溝通至關重要，本條款強調確定與資訊安全管理系統 (ISMS) 相關的內部和外部溝通需求。一份文件化的程序，概述了不同的溝通形式、會議預期討論內容以及責任人，可確保整個業務過程中記錄和文件的一致性。

重點總結

1. 評估並確保您的資訊安全管理系統所需的所有資源。
2. 制定獲取、提供、維護和審查這些資源的計畫/流程。
3. 明確資訊安全管理系統（ISMS）中每個角色的能力要求，記錄決策，並解決差距。
4. 確保員工了解資訊安全政策、自身職責、遵守政策的後果。
5. 制定全面的溝通計劃，涵蓋內部和外部管道、內容、頻率、分類需求和責任方。

落實這些要點將為滿足 ISO 27001 在這些關鍵條款中的要求奠定堅實的基礎。

• 查看本系列的前一篇：風險、機會、目標和計劃：關於實施第6條的提示。
• 查看本系列下一篇：理解第 7.5 條款：文件化訊息