由於部分朋友的錯愛，一直希望筆者能夠談談「○○○○與資訊安全管理系統(ISMS)整合」之類的課題，或者辦理類似課題的課程，其中的"○○○○"可以是像ISO 9001、CMMI、PMI專案管理等等。主要原因是看重筆者對於系統工程與軟體工程、專案管理等有關之美國軍方標準、IEEE標準、CNS國家標準、ISO國際標準、PMI標準、乃至於CMMI等的理解。
　　其實這樣一個課題，就個人二十多年實踐資訊安全有關的經驗而言，並沒有必要去談所謂「整合」的問題。因為在二十多年的經驗裡，由於軍人身分的關係，工作上所接觸的許許多多的「資訊」，有許多都是得受到保護的，但是不論在曾經任職的作戰單位、情報單位、人事單位、武器系統籌獲管理單位、乃至於資訊中心裡，所採用的資訊安全管理其實是一套的，只是針對於所要保護的對象，以其內容、傳遞的方法、可能的威脅與風險等，而採用不同的保護技術，有些保護技術，甚至於是不需要目前的資訊技術就可以做到，例如，加解密，根本也不需要到像RSA之類，複雜的演算法，仍然可以依據需要達成保障資訊之「機密性」、「完整性」、「可用性」。
　　就如同筆者先前所提到的，ISMS最重要的主要課題，先要理解保護的對象--資訊，它的重要性、用途、傳遞方式、呈現方式、呈現媒介、接收方式、傳遞者、接收者、資訊運用的週期、資訊的時效性.....等等議題，再依據這些議題去思考資訊在「機密性」、「完整性」與「可用性」保障上的實作方法。什麼樣的資訊，應受什麼樣的保護，可以是同一套的標準，例如我們可以從資訊的「機密性」入手，在資訊上我們可以分成「普通」、「限閱」、「密」、「機密」、「極機密」、「絕對機密」等等，而相對於這樣的分法，就表示，該等資訊應該知道這些資訊的人數是相對遞減的，使用的時間與機會也會銳減，因此，等級越高的資訊，需要在資訊設備上存在的時間應該是不需要很長的，甚至於沒有上系統的需要，當然，對於一些電子商務交易上需要，則需透過系統設計的手段處理(例如，同屬一個客戶的個資，依每個人資訊的每一個entry的機敏程度，分置於施予不同層級保護(包括加密處理)方式的資料庫中)。因此對於經辦人而言，機密等級越高的資訊，要採取的作法可以是：紙本親送、甚至於口頭親自向對象報告，紙本部分在親送簽核之後，若需保存，可以鎖在保險櫃或者其他的方式加密處理保存(例如，多封套，或原件掃瞄為圖檔，再做加密處理等等)，在逾保存期之後，可以用碎紙機粉碎後，再予「水銷」或「焚燬」處理；口頭報告的部分，可能要注意報告的環境是否存在被竊聽的可能性。
　　當然，一個公司會不會受到攻擊與入侵，主要在於該公司的價值與其所持有資訊的價值性而定，一個公司與機構在經過幾波攻擊，經確認沒什麼其有價值的資訊存在系統中後，其往後受到攻擊的機會相對會減小，因此，公司實踐ISMS的重要工作是，為持有的資訊分類，將流通於系統與資訊網路上的關鍵資訊儘可能減至最少。
　　當公司在資訊系統中流通的關鍵資訊減少之後，對於該公司有興趣的人(商業間諜、競爭對手等)，所要採行的資訊取得方法將會改變，例如，直接近入公司裡，從事相關工作，即所謂「最堅強的堡壘要從內部攻破」「在敵人的心臟裡」等等，所以在資訊安全管理系統(ISMS)裡，也將實體環境保護(A.9)、人力資源安全(A.8)等等納入範圍之中。
　　以上所談到的一些問題，其實並不會因為不同的 "○○○○"，而有所不同，因為任何組織在導入 "○○○○"之後，ISMS要照顧到的，其實還是「資訊」而已，而這些要保護的對象，也不會因為 "○○○○"不同而有差異的（技術差異基於資訊分類而產生），因此，實質上並沒有個別之 "○○○○"與ISMS整合的問題。

----------------
引文: