ISO 27001
迷思主題3:導 ISO 既麻煩又沒用
把 ISO 27001 當成「為了拿證書而做的表面功夫」:是成本、是形式,不會真的讓組織變好。 這個迷思的根源,是一種誤解:很多人並不清楚 ISO 27001 裡那些規劃(plan)、評估(assessment)與程序(procedure)到底有什麼用,於是把它們一律當成「做做樣子的官僚作業」。一旦這樣想,「差不多就好、邊做邊修」就成了理所當然,ISO 也就順理成章被當成「為了應付驗證公司」而做的表面工夫。
ISO 27001
迷思主題2:資訊安全管理系統(ISMS)只是 IT 的責任
在稽核現場我們經常看到一幕:稽核當天,IT 主管一個人從早坐到晚,回答完所有問題;其他部門的主管要不是不在場,要不是被叫進來時還問一句:「ISMS 是什麼?」 這就是 ISO 27001 第二個常見迷思——把資訊安全當成「IT 的事」。
ISO 27001
迷思主題1:通過驗證即代表組織資訊安全無虞
建立並通過 ISMS(資訊安全管理系統)驗證,不代表組織從此不會發生資安事故。ISMS 真正帶來的價值,在於讓組織發生事故的機率明顯降低;縱使萬一事故仍然發生,組織受到的衝擊範圍會更可控、復原的速度也會更快。換句話說,ISMS 強化的是組織面對風險的「韌性與復原力」,而不是給出一張「永遠不會出事」的保證書。