Day 10
ISO 27001 資訊安全管理系統, kachung (iThome)
https://ithelp.ithome.com.tw/users/20145763/articles
關於 ISO 27001 覺得整理的最完整的是這些文章
繼續看 ISO 27001
肆 全景分析
ISO 27001 一至三章是一般性標準的敘述，第四章進行全景分析，根
據 ISO組織的說明，全景是營運環境內部和外部因素和條件的組合，
可能對組織的產品、服務和投資方法以及感興趣的關係方產生影響，
也被稱為營運環境、組織環境或組織的生態系統。
＊此概念也適用於非營利組織、公共服務組織和政府組織。
這個章節要求組織建立ISMS的全景用以確定其需求、期望以及利害關
係者的需求來確定ISMS的範圍，這些要求可能包含法律、監管要求和
合約義務確定資訊安全策略和目標以及組織如何考慮風險以及風險對
其業務的影響。
透過所有相關的外部、內部議題與利害關係者的要求來確定ISMS的範
圍實現這些目標。
定義ISMS的步驟：
一、溝通與諮詢
儘早制定溝通、協商計劃針對應解決的問題及已知的後果採取相對
應措施，對外部、內部進行有效的溝通、協商確保負責管理流程人員
和利害關係者了解進而做出決策以及對應的特定動作。
諮詢進行的方式：
．協助適當的建立全景。
．確保理解和考慮利害關係者的利益。
．協助確保充分識別相關的風險。
．將不同的領域結合在一起，以建立全景。
．確保組織全景、定義風險標準和評估風險時適當考慮不同的觀點。
．認可並支持風險處理計劃。
．在整個過程中加強適當的變更管理。
．制定適當的外部和內部溝通和諮詢計劃。
二、建立ISMS的全景
透過建立全景，組織可以確認其資訊安全目標，定義在管理風險時
要考慮的外部和內部因素並為流程設定範圍和風險標準。執行全景分
析的目標不僅是為了決定範圍也是在做導入前的準備工作。這些分析
出來的資訊，將會對後面的條文產生影響。
https://i.imgur.com/yJPCYuT.png
三、建立外部背景
外部背景是組織尋求達成目標的外部環境。了解外部背景是為了確保
在訂定安全風險標準時已考慮外部利害關係者的目標和關切事項。基
於組織範圍的全景，並具備法律和主管機關要求的具體細節、利害相
關者的看法以及特定於資訊安全管理過程範圍的其他方面。
外部背景可包含但不限於以下事項：
．社會和文化、政治、法律、監管、金融、技術、經濟、自然和社會。
．競爭環境，無論是國際、國家、區域還是地方。
．影響組織目標的關鍵驅動因素和趨勢。
．與外部利害關係者相關的關係、觀念和價值觀。
包山包海的感覺 ^^;;
四、建立內部背景
內部背景是組織尋求達成目標的內部環境。資訊安全管理流程應與組
織的文化、流程、架構和策略保持一致，內部背景主要在分析組織內
部的關鍵性問題。為了讓所建立的管理系統能夠適合組織的運作，這
項分析工作是必要的而且有助於管理系統與組織作完整且密切的結合
管理系統最難管控的是人，如果在內部議題分析中能夠明確瞭解組織
人員運作的規則，對接下來的管理系統設計規畫將有很大的助益。
可包含但不限於：
．治理、組織結構、角色和責任。
．政策、目標和實現這些目標的策略。
．在資源和知識方面理解的能力。
．內部利害關係者的關係、觀念和價值觀。
．組織的文化。
．資訊系統、資訊流和決策過程（正式和非正式）。
．組織採用的標準、準則和模型以及合約關係的形式和範圍。
內部背景是組織內可以影響組織管理其安全風險的方式的任何內容，
因為下列事項所以需要建立內部背景的分析：
．風險管理是在組織目標的背景下進行的
．根據整個組織的目標考慮特定項目、過程或活動的目標和標準
．組織未能認識到實現其策略、專案或業務目標的機會，這會影響組
織的持續承諾、信譽、信任和價值。
＊人很難管、風險管理…
五、了解利害關係者的需求和期望
利害關係者可以包括：
‧ 員工
‧ 股東/業主
‧ 政府機構/監管機構
‧ 緊急服務（例如：消防員、警察、救護車等）
‧ 客戶
‧ 員工家屬
‧ 媒體
‧ 供應商和合作夥伴
‧ 對營運很重要的任何其他人。
＊利害關係人也要考慮進來就是了…
六、訂定資訊安全管理系統的適用範圍
ISMS範圍和邊界決定了ISMS在組織中的適用程度。範圍是規劃資訊安
全管理系統推行和實施的關鍵部分。確認正確且適用的ISMS範圍非常
重要，因為它將幫助組織滿足其安全要求並規劃ISMS實施。
(1) 正式範圍定義的目的：
範圍定義的目的是準確說明組織所做的事情，範圍說明應準確說明
組織所做的事情是否符合標準。
(2) 確定和定義ISMS邊界的策略及方法
應先了解組織以及與其最相關的問題，以及對其最感興趣的人員和組
織的需求和期望。（不能違反相關法令）
(3) 不同的範圍：
範圍界定是規劃資訊安全管理系統（ISMS）的導入及實施的關鍵點，
組織通常會細分為較小的ISMS範圍。在
範圍都決定了資訊安全管理的控制措施、界限及適用性。
範圍將由以下因素決定：
．組織的業務
．相關利害關係者的需求和期望
．目前的組織結構
(4) 如何定義ISMS的範圍
1.識別需要保護的內容
2.監督和審查
3.委外和第三方：與任何第三方合作時，對於資訊安全來說，定義
以下內容非常重要：
．法律責任、問責制和保險
．存取和授權
．揭露和隱私
．合約條款
關於合約條款的實際做法：
(1) 適用資通安全管理法的組織
1.核心業務：依照資通安全管理法施行細則第七條，先找出組織的
核心業務。
2.核心系統：支持核心業務運作必要之系統。
3.資通安全責任等級：依照資通安全責任等級分級辦法，由主管機
關核定相對應之等級，按照等級決定導入系統之驗證範圍。
4.資通安全維護計畫
＊這邊跟資訊安全管理法及子法對上了。
(2) 非資通安全管理法適用組織
1.確認法規命令
2.為何需要ISMS
3.核心業務
4.決定適用範圍：依照前面的分析，來決定ISMS最佳適用範圍：
．以部門別定義。
．以應用系統別定義。
．以產品/業務別定義。
．以實體區域定義。
5.範圍邊界及關聯性管控
6.管理階層核准
考古題背一下↓
ISO 27001: 資訊安全管理系統-要求事項
ISO 27002: 資訊安全控制措施
ISO 27003: 資訊安全管理系統實作指引
ISO 27004: 資訊安全管理量測
ISO 27005: 資訊安全風險管理
ISO 27007: 資訊安全管理系統稽核指引
ISO 27008: 資訊安全控制措施評鑑指引