Day 10
ISO 27001 资讯安全管理系统, kachung (iThome)
https://ithelp.ithome.com.tw/users/20145763/articles
关于 ISO 27001 觉得整理的最完整的是这些文章
继续看 ISO 27001
肆 全景分析
ISO 27001 一至三章是一般性标准的叙述，第四章进行全景分析，根
据 ISO组织的说明，全景是营运环境内部和外部因素和条件的组合，
可能对组织的产品、服务和投资方法以及感兴趣的关系方产生影响，
也被称为营运环境、组织环境或组织的生态系统。
＊此概念也适用于非营利组织、公共服务组织和政府组织。
这个章节要求组织建立ISMS的全景用以确定其需求、期望以及利害关
系者的需求来确定ISMS的范围，这些要求可能包含法律、监管要求和
合约义务确定资讯安全策略和目标以及组织如何考虑风险以及风险对
其业务的影响。
透过所有相关的外部、内部议题与利害关系者的要求来确定ISMS的范
围实现这些目标。
定义ISMS的步骤：
一、沟通与咨询
尽早制定沟通、协商计划针对应解决的问题及已知的后果采取相对
应措施，对外部、内部进行有效的沟通、协商确保负责管理流程人员
和利害关系者了解进而做出决策以及对应的特定动作。
咨询进行的方式：
．协助适当的建立全景。
．确保理解和考虑利害关系者的利益。
．协助确保充分识别相关的风险。
．将不同的领域结合在一起，以建立全景。
．确保组织全景、定义风险标准和评估风险时适当考虑不同的观点。
．认可并支持风险处理计划。
．在整个过程中加强适当的变更管理。
．制定适当的外部和内部沟通和咨询计划。
二、建立ISMS的全景
透过建立全景，组织可以确认其资讯安全目标，定义在管理风险时
要考虑的外部和内部因素并为流程设定范围和风险标准。执行全景分
析的目标不仅是为了决定范围也是在做导入前的准备工作。这些分析
出来的资讯，将会对后面的条文产生影响。
https://i.imgur.com/yJPCYuT.png
三、建立外部背景
外部背景是组织寻求达成目标的外部环境。了解外部背景是为了确保
在订定安全风险标准时已考虑外部利害关系者的目标和关切事项。基
于组织范围的全景，并具备法律和主管机关要求的具体细节、利害相
关者的看法以及特定于资讯安全管理过程范围的其他方面。
外部背景可包含但不限于以下事项：
．社会和文化、政治、法律、监管、金融、技术、经济、自然和社会。
．竞争环境，无论是国际、国家、区域还是地方。
．影响组织目标的关键驱动因素和趋势。
．与外部利害关系者相关的关系、观念和价值观。
包山包海的感觉 ^^;;
四、建立内部背景
内部背景是组织寻求达成目标的内部环境。资讯安全管理流程应与组
织的文化、流程、架构和策略保持一致，内部背景主要在分析组织内
部的关键性问题。为了让所建立的管理系统能够适合组织的运作，这
项分析工作是必要的而且有助于管理系统与组织作完整且密切的结合
管理系统最难管控的是人，如果在内部议题分析中能够明确了解组织
人员运作的规则，对接下来的管理系统设计规画将有很大的助益。
可包含但不限于：
．治理、组织结构、角色和责任。
．政策、目标和实现这些目标的策略。
．在资源和知识方面理解的能力。
．内部利害关系者的关系、观念和价值观。
．组织的文化。
．资讯系统、资讯流和决策过程（正式和非正式）。
．组织采用的标准、准则和模型以及合约关系的形式和范围。
内部背景是组织内可以影响组织管理其安全风险的方式的任何内容，
因为下列事项所以需要建立内部背景的分析：
．风险管理是在组织目标的背景下进行的
．根据整个组织的目标考虑特定项目、过程或活动的目标和标准
．组织未能认识到实现其策略、专案或业务目标的机会，这会影响组
织的持续承诺、信誉、信任和价值。
＊人很难管、风险管理…
五、了解利害关系者的需求和期望
利害关系者可以包括：
‧ 员工
‧ 股东/业主
‧ 政府机构/监管机构
‧ 紧急服务（例如：消防员、警察、救护车等）
‧ 客户
‧ 员工家属
‧ 媒体
‧ 供应商和合作伙伴
‧ 对营运很重要的任何其他人。
＊利害关系人也要考虑进来就是了…
六、订定资讯安全管理系统的适用范围
ISMS范围和边界决定了ISMS在组织中的适用程度。范围是规划资讯安
全管理系统推行和实施的关键部分。确认正确且适用的ISMS范围非常
重要，因为它将帮助组织满足其安全要求并规划ISMS实施。
(1) 正式范围定义的目的：
范围定义的目的是准确说明组织所做的事情，范围说明应准确说明
组织所做的事情是否符合标准。
(2) 确定和定义ISMS边界的策略及方法
应先了解组织以及与其最相关的问题，以及对其最感兴趣的人员和组
织的需求和期望。（不能违反相关法令）
(3) 不同的范围：
范围界定是规划资讯安全管理系统（ISMS）的导入及实施的关键点，
组织通常会细分为较小的ISMS范围。在
范围都决定了资讯安全管理的控制措施、界限及适用性。
范围将由以下因素决定：
．组织的业务
．相关利害关系者的需求和期望
．目前的组织结构
(4) 如何定义ISMS的范围
1.识别需要保护的内容
2.监督和审查
3.委外和第三方：与任何第三方合作时，对于资讯安全来说，定义
以下内容非常重要：
．法律责任、问责制和保险
．存取和授权
．揭露和隐私
．合约条款
关于合约条款的实际做法：
(1) 适用资通安全管理法的组织
1.核心业务：依照资通安全管理法施行细则第七条，先找出组织的
核心业务。
2.核心系统：支持核心业务运作必要之系统。
3.资通安全责任等级：依照资通安全责任等级分级办法，由主管机
关核定相对应之等级，按照等级决定导入系统之验证范围。
4.资通安全维护计画
＊这边跟资讯安全管理法及子法对上了。
(2) 非资通安全管理法适用组织
1.确认法规命令
2.为何需要ISMS
3.核心业务
4.决定适用范围：依照前面的分析，来决定ISMS最佳适用范围：
．以部门别定义。
．以应用系统别定义。
．以产品/业务别定义。
．以实体区域定义。
5.范围边界及关联性管控
6.管理阶层核准
考古题背一下↓
ISO 27001: 资讯安全管理系统-要求事项
ISO 27002: 资讯安全控制措施
ISO 27003: 资讯安全管理系统实作指引
ISO 27004: 资讯安全管理量测
ISO 27005: 资讯安全风险管理
ISO 27007: 资讯安全管理系统稽核指引
ISO 27008: 资讯安全控制措施评鉴指引