完整資訊安全管理系統(ISMS)-登入密碼機制

資訊安全管理系統(Information Security Management System, ISMS) 從「資訊技術」、「人員訓練」、「作業管理」提供全方位的防護機制 。 基本上，ISMS的建置只有一個重點－『資訊資產』，瞭解企業的資訊資產，選擇適用的風險評估、安全架構、建置計劃、監控機制就可以架構出企業的資訊安全管理系統來防護資訊資產的安全。而建立一套完整的資訊安全管理系統，使企業的資訊安全目標得以達成！！

ISO 27001 所建構的資訊安全管理系統 (ISMS) 中「風險導向」為其重要的觀念。經由有效的風險評鑑可讓組織在建構資安控制措施時，運用管控措施使風險降低或轉移 ， 能夠於風險與成本間取得平衡，使企業資安投資效益最大化。

於CNET報導中(http://taiwan.cnet.com/news/software/0,2000064574,20117210,00.htm)也指出近來提供中小企業導入ISMS顧問服務的NII卻提醒，不需要認證不代表不需要ISMS。魯君禮表示，企業內部絕對需要一套資安管理機制來降低或應變可能的風險，他認為，企業或許沒有取得驗證的預算，「但不代表不需重視資安管理，」他表示。

顏家偉也持類似看法。他表示，若ISO 27001能夠完整導入，並真正落實在企業內部，對企業流程會是很大的改造，工程雖大，但卻能有效降低資安風險。但他亦提醒，全面導入必須付出龐大成本，且資安認證的投資回報(ROI)難以用數字精確衡量，他認為，導入ISO 27001立意雖好，但以台灣重代工、微利化的產業形態，企業對資安管理認證缺乏興趣並不令人感到意外。

「企業仍應注意資安管理，」魯君禮認為，企業對於資安管理的概念需要導正。他表示，透過有效的導入方法論，可破除企業對導入ISMS很困難或不可行的迷思，他表示，所有的企業都需要ISMS，但卻不是所有的企業都需要取得認證。他表示，企業可以視自身狀況，選擇導入具備ISO 27001精神的資安管理機制，未來並視需求進一步申請驗證。

何全德則建議企業儘早進行ISMS規劃，他表示目前我國雖然沒有法令強制要求業者採行ISMS或需取得認證，但企業若因內部資安疏失導致資料外洩或客戶其它損失，仍得面臨賠償官司。「企業不應抱著輪不到我的心態，」他說。

狀態網際網路搭配新版eip7.0的問世，將加入密碼機制功能，在系統安全設定裡，可以強制規定使用者的密碼。