其實 ISO 系統都是通用的，從 ISO 9001、 ISO 14001、 ISO 50001、ISO 45001 跟27001…
都是採用高階管理架構：

4.組織全景 - 重點在於依領導要求訂範圍！

4.1 瞭解組織及其全景

組織應決定與其目的有關且影響達成其資訊安全管理系統預期成果能力者之內部及外部議題。
備考：決定此等議題，係指建立於CNS31000[5]5.3中所考量之組織內部及外部全景。
Ⓞ　CNS31000 企業風險管理

內部議題：組織架構、組織文化、重大變更

• 組織文化
• 策略、目標及達成的方法
• 組織架構、角色、執掌及治理
• 資源及人力
• 近期組織架構是否有重大變更？
• 近期有擴展相關資安的業務嗎？
• 政策與目標相符？

外部議題：主管機關、法規規範、標準改版

• 社會、文化？ 如：疫情影響？
• 政治、法術規範？
• 主管機關？組織適用資通管理法嗎？
• 針對近期同業的相關資安新聞有什麼措施？

4.2 瞭解關注方之需要及期望

組織應決定下列事項。
(a)與資訊安全管理系統有關之關注各方。
(b)此等關注方對資訊安全之要求事項。
備考：關注方之要求事項可能包括法律及法規要求，以及契約義務。

顧問導向

• 客戶合約對組織的要求？企業義務？
• 應用特殊產業法規？水電、消防、電信？
• 契約或合約對資安的要求有哪些？有什麼規定呢？

4.3 決定資訊安全管理系統之範圍

依據 4.1 的內外部議題 及 4.2 關注方要求事項確認範圍。
(a) 4.1 中所提及之內部及外部議題。
(b) 4.2 中所提及之要求事項。
(c) 組織履行之活動與其他組織履行之活動間的介面及相依性。
適用範圍應予文件化資訊並易於取得。
就是 Paper Work 啦…

利害關係人

員工、股東、系統使用者、外部稽核、顧問、廠商、客戶等等等…

以上述內容訂邊界，可產出適用性聲明書

• 導入 ISO 27001 的目的？
• 是否為內部議題(4.)關注方要求而驗證的範圍？
• 是否有擴廠或是新增業務而擴大驗證範圍？(官網)

範圍訂定

由於大家都要驗機房，所以…
資通法草案"未來"應要將資訊系統清冊盤點完，分級執行，「核心系統」及「資料庫資訊系統」列入範圍內。
政府單位要來編預算了…

(1) 列出核心業務
．核心業務
．依公司產品/業務產業列出核心業務 >> 設計開發、客戶資料、研發資料等等應該算是核心業務。
．實體範圍：集團總部、分公司、等等…

(2) 決定適用範圍
(3) 排除範圍協議
(4) 管理階層核淮

參考排除項目：歷史共業所簽訂之 SLA、MOU、… 等等

人天怎麼算呢？

以顧問級距 27006 以計算人天。
如果只驗機房 第一級距 10 人以內，合理；但是，是否符合客戶要期望呢？
客戶說要通過，但只通過機房？？？ 合理嗎？

4.4 資訊安全管理系統

依標準之要求事項，建立、實作、維持及持續改善資訊安全管理系統。

5.領導作為 -

5.1 領導及承諾

最高管理階層應藉由下列事項，展現對資訊安全管理系統之領導及承諾。
(a) 確保已建立資訊安全政策及資訊安全目標， 並與組織之策略方向相容。
(b) 確保資訊安全管理系統要求事項整合入組織之各項過程。
(c) 確保資訊安全管理系統所需之資源可取得。
(d) 傳達有效之資訊安全管理的重要性，以及符合資訊安全管理系統要求事項之重要性。
(e) 確保資訊安全管理系統達成其預期成果。
(f) 指導及支援人員， 以促進資訊安全管理系統之有效性。
(g) 宣導持續改善。
(h) 當適用其他相關管理角色之責任範圍時， 加以支持以展現其領導權。

組織領導由誰擔任呢？

資訊部門長官可以嗎？不建議。

因為高階管理階層需要提供承諾及資源，不能只能講講，要給錢給人給資源～
而且要協調各大部門協助執行，要確實執行，有獎有罰，要給承諾並實現。

所以會建議由副總級擔任。

管理階層定義並核准後的營運策略提供資源。

• 組織政策需要裝行動裝置管理軟體(MDM)，那麼有沒有預算足以落實到每個使用者的裝置上呢？
• 如果因應疫情的關係，所以需要遠端辦公，那麼公司有沒有提供什麼遠端連線的配套措施呢？

5.2政策

最高管理階層應建立包含下列事項之資訊安全政策。
(a) 適合於組織之目的。
(b) 包括資訊安全目標(參照6.2)或提供設定資訊安全目標使用之框架。
(c) 包括對滿足相關於資訊安全之適用要求事項的承諾。
(d) 包括對持續改善資訊安全管理系統之承諾。
資訊安全政策應符合下列項目。
(e)以文件化資訊提供。
(f)於組織內傳達。
(g)適用時，提供給關注方。

由高階主管訂定方向高階政策 >> 資安政策 >> 特定項目存取政策 (資訊單位執行)

• 長官訪談中，應觀察他如何展示他對資訊安全的關注度，參與度如何呢？
• 長官訪談如果言之有物，可以往未來的目標討論？
• 資訊安全政策近期是否有重大變更或是定期審查記錄？

在高階訪談時，請注意面對的是高層長官，該有的禮貌尊重都要有噢！

5.3 組織角色、責任及權限

[考題] 什麼叫職責跟職權？
職責：責任內應該要完成的事情。執行單位。
職權：有決定工作項目的權力。審核管理單位。

最高管理階層應確保資訊安全相關角色之責任及權限已指派並傳達。
最高管理階層應指派下列責任及權限。
(a)確保資訊安全管理系統符合本標準之要求事項。
(b)向最高管理階層報告資訊安全管理系統之績效。
備考：最高管理階層亦可指派報告組織內資訊安全管理系統績效之責任及權限。

• 資訊安全委員會或是組織內的資安單位的組織架構圖，最高管理階層是哪位？相關的權限？
• 請提供組織架構圖？作業職掌各是什麼呢？ (權責歸屬 \ 分工分權)
• 高層領導的階級是哪位呢？ ((後續會檢查政策發布是不是有簽到最高長官

長官定期去進行審查執行成效嗎？

通常，在最後高階管理訪談還是會再問一下：

• 長官近期有關注的議題嗎？
• 此次稽核活動有什麼要給我們的建議或是期許嗎？

參考文獻

國家標準(CNS)網路服務系統：https://www.cnsonline.com.tw/

恐怖遊戲推薦

直到黎明

巴哈姆特遊戲介紹：

直到黎明-阿津版本：https://youtu.be/8y1jofpyyug