ISO27001 第四至第六章 - 組織全景、領導與規劃

發表於 更新於 分類於

前情提要

這篇文章主要整理了 ISO 27001 標準中第四至第六章的內容,涵蓋了組織全景、領導與規劃三大主題。今天的重點包括如何了解內外部情境、關注方需求與期望,以及確定資訊安全管理系統(ISMS)的範圍;同時也深入探討了高層管理階層在資訊安全中的角色與承諾,並說明了風險評鑒與目標規劃的具體步驟,這些內容為組織建立有效的 ISMS 提供了全面的指引。

圖 1. : Blog Image

第四至第六章 - 組織全景、領導與規劃

第四章 - 組織全景 (Context of the Organization)

4.1 瞭解組織情境 (Understanding the organization and its context)

了解組織及其全景

  • 組織應決定與其目的有關且影響達成其 ISMS 預期成果能力者之外部與內部議題:
    • 內部議題:在組織的控制範圍內(例如:組織的帳號密碼原則)。
    • 外部議題:在組織的控制範圍外(例如:主管機關或合作廠商的規定及要求)。
  • 根據 ISO 31000:2018[5] 中的 5.4.1 條款,確立組織的外部與內部背景。

附註
確定這些議題旨在建立組織的外部與內部背景。

4.2 瞭解關注方之需求及期望 (Understanding the needs and expectations of interested parties)

關注方需求分析

  • 組織應確定以下事項:
    1. 與 ISMS 相關的所有關注方。
    2. 這些關注方的相關要求。
    3. 需要透過 ISMS 解決的要求(例如:員工對密碼頻繁更新的不滿)。

附註
這些要求事項可能包含義務性要求或非義務性需求。

4.3 決定 ISMS 的範圍 (Determining the scope of the information security management system)

範圍確定

  • 組織應決定 ISMS 的邊界與適用性,並文件化其範圍。
  • 在確定範圍時,應考慮:
    • 4.1 提到的內外部議題
    • 4.2 提到的關注方需求與期望
    • 組織執行的活動與其他組織活動的相依性與介面

附註
範圍的文件化需清楚且具體,作為後續實施的依據。

4.4 資訊安全管理系統 (Information security management system)

建立 ISMS

  • 組織應建立、實施、維護並持續改進其資訊安全管理系統(ISMS)。
  • 包括所需的流程及其互動。

第五章 - 領導 (Leadership)

5.1 領導與承諾 (Leadership and commitment)

高層管理階層的領導與承諾

高層管理階層應展示對 ISMS 的支持與承諾,具體行為包括:

  1. 確保目標一致性:資訊安全政策與目標需符合組織策略方向。
  2. 整合系統需求:將 ISMS 的要求嵌入到組織流程中。
  3. 資源保障:確保所需資源可用。
  4. 傳遞重要性:向組織內部傳達 ISMS 有效性的重要性。
  5. 實現預期成果:監督系統達成其設立的目標。
  6. 指導與支持:支持所有相關人員提升 ISMS 的效能。
  7. 推動持續改進:推動 ISMS 在過程中的不斷優化。
  8. 支持管理角色:協助其他管理層展示其在負責領域中的領導力。

附註
本文件中提及的「業務」(business)亦適用於組織運作相關內容。

5.2 政策 (Policy)

高層管理階層對資訊安全政策的承諾

高層管理階層需建立一份資訊安全政策,該政策應:

  • 符合組織目的:確保政策與組織的目的與方向一致。
  • 包含資訊安全目標:或提供設定目標的框架。
  • 符合法規要求:承諾滿足所有適用的資訊安全要求。
  • 持續改進:承諾提升 ISMS 的整體效能。

資訊安全政策的管理與溝通

  1. 文件化:政策需有正式的文件支持,易於查閱與管理。
  2. 內部傳達:向組織內部傳遞政策內容,確保全員理解並遵循。
  3. 外部可用性:根據需要,向相關方(如主管機關或合作夥伴)提供政策文件。

5.3 組織角色、職責與權限 (Organizational roles, responsibilities, and authorities)

角色與權限的分配

高層管理階層應確保資訊安全相關角色的職責與權限在組織內被分配並傳達。

責任與權限

高層管理階層需分配以下責任與權限:

  1. 確保 ISMS 符合要求:確保資訊安全管理系統符合相關標準文件的要求。
  2. 系統效能報告:向高層管理階層報告 ISMS 的運行效能。

附註
高層管理階層也可根據需要進一步分配其他相關職責與權限。

第六章 - 規劃 (Planning)

6.1 因應風險及機會的行動

6.1.1 一般規定

在規劃資訊安全管理系統(ISMS)時,組織應考慮在 4.1 中提到的議題和 4.2 中提到的要求,並確定需要處理的風險與機會,以:

  • a) 確保 ISMS 能夠實現其預期成果;
  • b) 預防或減少不期望的影響;
  • c) 達成持續改進。

組織應規劃:

  • d) 因應這些風險與機會的行動;
  • e) 如何:
    1. 將這些行動整合並實施於 ISMS 的過程中;
    2. 評估這些行動的有效性。

6.1.2 資訊安全風險評鑒

組織應定義並應用資訊安全風險評鑒過程,以:

  • a) 建立並維護資訊安全風險準則;
  • b) 確保重複的資訊安全風險評鑒產生一致、有效且可比較的結果;
  • c) 識別資訊安全風險;
  • d) 分析資訊安全風險;
  • e) 評估資訊安全風險。

6.1.3 資訊安全風險處理

組織應定義並應用資訊安全風險處理過程,以:

  1. 選擇處理選項;
  2. 確定控制措施;
  3. 與附錄 A 的比較;
  4. 編制適用性聲明(SoA);
  5. 制定風險處理計劃;
  6. 獲得風險擁有者的批准。

6.2 資訊安全目標及其實現的規劃

組織應在相關職能和層級上確立資訊安全目標,並規劃具體實現方法。

6.3 變更的規劃

當組織確定需要對資訊安全管理系統進行變更時,應以受控的方式進行變更的規劃和實施。

附註
如需更多實施細節,建議參考 ISO 27001 的附錄 A。