ISO/IEC 27003(資訊安全管理系統實作指引, ISMS-implementation guidance)附錄A
階段3: 進行資訊安全需求分析
步驟13
活動:定義支援ISMS的資訊安全要求(Define information security requirements supporting the ISMS)
輸入:步驟12
輸出:
主要過程、功能、位置、資訊系統及通信網路的清單(List of the main processes, functions, location, information systems, communication networks)
組織處理機密性、 可用性和完整性的要求(Organization’s Requirements addressing confidentiality, availability, and integrity)
組織處理法律、法規、合同和業務資訊安全的要求(Organization’s requirements addressing legal and regulatory, contractual and business information security requirements)
與組織有關的已知的安全性漏洞清單(List of known vulnerabilities to the organization)
對應ISO27001條款:
4.2.1.c) 1)partially
4.2.1.d) 3)
階段3(進行資訊安全需求分析)的第一個步驟定義支援ISMS的資訊安全要求，輸入為ISMS政策，輸出則包含「主要過程、功能、位置、資訊系統及通信網路的清單」、「組織處理機密性、 可用性和完整性的要求」、「組織處理法律、法規、合同和業務資訊安全的要求」及「與組織有關的已知的安全性漏洞清單」。

＊如想瞭解更細部的說明，可以參考ISO/IEC 27003第7.2節

相關連結
30天ISMS導入分享－１３
http://ithelp.ithome.com.tw/question/10080109