最近因為換了新工作，到新公司將近快一個月的時間，除了瞭解新環境外，新工作的內容感覺幾乎都是在複習，複習導入ISO27001及專案管理的工作，目前公司除了導ISO27001外，另外也準備PIMS的導入，以因應個資法上路可能影響公司方面的問題。

 

這陣子工作下來，發現每間公司在導入ISO27001的目標都是一致的，但方法卻不一定相同，同時顧問公司其實真的也是很重要，因為在資產清冊與風險評鑑上面可以提供很有用的資料與建議，這對於之後每年的續評工作會有很大的幫助，如果一開始對於資產的風險評鑑等級定義較為模糊或是界定不清，往後的續評工作，可能就會面臨到因重新定義風險等級，再做一次資產評鑒與清查，反而耗費更多的人力資源。所以在第一次導入的時候會非常重要，雖然會耗費較多的人力資源，但這也是為了可以更清楚的定義風險值，以降低往後的風險值可以更精準，更能符合現況。

 

這些日子所複習ISO27001及專案管理，接下來我也會陸續將經驗記錄下來，一方面為自己做的備忘，一方面也可以分享給大家。