ISO/IEC 27003(資訊安全管理系統實作指引, ISMS-implementation guidance)附錄A
階段1: 取得管理階層核可啟動ISMS專案
步驟4
活動:收集有關法規、遵循性以及適用于該組織的行業標準(Gather relevant regulatory, compliance, and industry standards applicable to the corporation)
輸入:無
輸出:法規、遵循性以及適用于該組織的行業標準的摘要(Summary of regulatory, compliance, and industry standards that are applicable to the corporation)
對應ISO27001條款:N/A
要建立ISMS,除了內部需求外,外部的要求也是重點之一,因此收集有關法規、遵循性(Compliance)以及適用于該組織的行業標準也是在啟動 ISMS專案前要先蒐集的資訊,例如:醫院就要注意醫療法相關規定,學校就要注意教育部的相關要求,一般公司則要注意是否有主管機關的特別要求事項,當然,預計明年實施的個人資料保護法也是必要蒐集的項目之一;以利在定義範圍時,不會忽略掉一些需事先就考量的因素。
相關連結
30天ISMS導入分享-4
http://ithelp.ithome.com.tw/question/10077724