資訊安全管理系統

在10~20年前當大家提到資訊安全時，第一想到的就是IT部門，在當時大眾一至認為資訊安全就是IT安全，其實一直到現在仍然有許多人認為資訊安全是IT人員的問題，所以許多單位在徵才時雖然職缺開的是誠徵資安人員，但是細看工作內容才知道是在徵網管人員。

但是資安人員跟網管人員到底有啥麼差異性呢！簡單的說網管人員最重要的工作是在確保網路系統的可用性，但是資安人員要確保的是公司重要資訊資產（設備、資料、軟硬體、服務..）的隱密性、完整性及可用性。而ISO/IEC27001--資訊安全管理系統（Information Security Management System, ISMS)是一套從企業資訊安全風險管理流程確認企業在營運的過程可能危害企業重要資訊及服務之隱密性、完整性及可用性的風險因子，進而以標準中預先定義的風險管控措施（Annex 5 ~18)來控制風險使風險降低到可接受的範圍之內。

在資訊安全管理系統的大框架之下，我們逐漸理解資訊安全是管理的問題而非IT的問題，但是要特別注意的好的資訊安全管理尚須好的IT技術來強制管理程序及政策可以被落實組織之中。因此資訊安全不單單是IT人員的責任而是全組織的責任。

如果您想更近一步了解資訊安全管理系統請聯繫我們 (Email住址會使用灌水程式保護機制。你需要啟動Javascript才能觀看它）