完整资讯安全管理系统(ISMS)-登入密码机制

资讯安全管理系统(Information Security Management System, ISMS) 从“资讯技术”、“人员训练”、“作业管理”提供全方位的防护机制 。 基本上，ISMS的建置只有一个重点－‘资讯资产’，了解企业的资讯资产，选择适用的风险评估、安全架构、建置计划、监控机制就可以架构出企业的资讯安全管理系统来防护资讯资产的安全。而建立一套完整的资讯安全管理系统，使企业的资讯安全目标得以达成！！

ISO 27001 所建构的资讯安全管理系统 (ISMS) 中“风险导向”为其重要的观念。经由有效的风险评鉴可让组织在建构资安控制措施时，运用管控措施使风险降低或转移 ， 能够于风险与成本间取得平衡，使企业资安投资效益最大化。

于CNET报导中(http://taiwan.cnet.com/news/software/0,2000064574,20117210,00.htm)也指出近来提供中小企业导入ISMS顾问服务的NII却提醒，不需要认证不代表不需要ISMS。鲁君礼表示，企业内部绝对需要一套资安管理机制来降低或应变可能的风险，他认为，企业或许没有取得验证的预算，“但不代表不需重视资安管理，”他表示。

颜家伟也持类似看法。他表示，若ISO 27001能够完整导入，并真正落实在企业内部，对企业流程会是很大的改造，工程虽大，但却能有效降低资安风险。但他亦提醒，全面导入必须付出庞大成本，且资安认证的投资回报(ROI)难以用数字精确衡量，他认为，导入ISO 27001立意虽好，但以台湾重代工、微利化的产业形态，企业对资安管理认证缺乏兴趣并不令人感到意外。

“企业仍应注意资安管理，”鲁君礼认为，企业对于资安管理的概念需要导正。他表示，透过有效的导入方法论，可破除企业对导入ISMS很困难或不可行的迷思，他表示，所有的企业都需要ISMS，但却不是所有的企业都需要取得认证。他表示，企业可以视自身状况，选择导入具备ISO 27001精神的资安管理机制，未来并视需求进一步申请验证。

何全德则建议企业尽早进行ISMS规划，他表示目前我国虽然没有法令强制要求业者采行ISMS或需取得认证，但企业若因内部资安疏失导致资料外泄或客户其它损失，仍得面临赔偿官司。“企业不应抱着轮不到我的心态，”他说。

状态网际网路搭配新版eip7.0的问世，将加入密码机制功能，在系统安全设定里，可以强制规定使用者的密码。