現況訪談

旨在確認資安目標與導入範圍

差異分析

在現況談訪中依據 ISMS 內建的 114 個控制項內容做為提問方向，佐以親切的日常用語表達方式與高階主管們、驗證範圍相關單位聊聊，在愉快的談天說地過程中，精準切入控制項目問出實際現況，彙整為「差異分析報告」提供客戶。

差異分析報告的精準度取決於被訪談對象是否如實回答顧問，若被訪談對象過度美化現況，差異分析時將產生重大偏差，無法切合現況並做出正確處置。

迷思

1. 範圍越小，越容易通過驗證...
2. 找資訊機房等範圍來通過驗證，如此對機關的衝擊才不致過大...

建議

1. 進行業務衝擊分析(Business ImpactAnalysis, BIA)，了解在所有業務範疇內，依業務的重要性來決定導入的範圍。
2. 參考企業或機關的關鍵核心業務內容，指定驗證範圍，
3. 依據法令要求，選定導入範圍及驗證範圍。

名詞說明

1. 導入範圍:哪些人/組織/環境...需要遵守 ISMS ?
2. 驗證範圍:向驗證機構申請到場審查哪些標的?，例如:流程/系統/建築物...詳如 ISO/IEC 27006:2015、驗證機構認證規範)
3. 關鍵核心業務:沒做好企業/機構會倒、高階主管與○○長會被抓去關

訪談過程應全程紀錄且留存備查:
1. 會議紀錄、簽到表
2. 差異分析檢核表
3. 差異分析報告

資料來源:
ISMS/PIMS顧問輔導
ISMS 資訊安全管理系統
政府機關為何要導入ISMS
公司為何要執行 ISMS資安管理系統 ?
JCIC「全組織一次通過」 ISO 27001資安驗證經驗分享