ISO/IEC 27003(資訊安全管理系統實作指引, ISMS-implementation guidance)附錄A
階段1: 取得管理階層核可啟動ISMS專案
步驟3
活動:定義ISMS的目標、資訊安全需求及營運要求(Define objectives, information security needs, business requirements for ISMS)
輸入:步驟1,2
輸出:ISMS目標、資訊安全需求及營運要求的摘要(Summary of the objectives, information security needs and business requirements for the ISMS)
對應ISO27001條款:N/A
在完成了步驟1,2,取得了組織的營運目標的清單以及現有的管理系統的說明後,就可以開始著手進行ISMS目標、資訊安全需求及營運要求的定義。
要定義目標可從風險管理(risk management), 效率(efficiency)及業務優勢(business advantage)幾個面向著手,自我進行下列問題之提問與回答,如:
*如何執行ISMS,會使資訊安全風險管理變的更好?
*如何執行ISMS來改善資訊安全的管理?
*如何利用ISMS來建立組織的競爭優勢?
資訊安全需求及營運要求則可從下列幾個面向著手,如:
*關鍵業務和組織領域
*敏感或有價值的資訊
*有那些法令強制的資訊安全措施
*和資訊安全有關的協議
*行業特殊的資訊安全措施
*有那些常見之威脅
*有那些資訊安全措施可提昇組織的競爭力
*營運持續的要求
***如想瞭解更細部的說明,可以參考ISO/IEC 27003第5.2節***
相關連結
30天ISMS導入分享-2
http://ithelp.ithome.com.tw/question/10077172
30天ISMS導入分享-3
http://ithelp.ithome.com.tw/question/10077459