伍、 第四章 全景分析
現在開始針對ISO 27001標準本文的章節來進行探討,第一到三章是一般性標準的敘述,就不多加探討;從第四章開始,這個章節是所有導入組織最容易輕忽且沒有實際做法的部分,一般我們看到的做法是寫一個全景分析表,把利害關係人的需求與期望寫進去,然後就把驗證或導入範圍直接敘述,也不管前面的分析資訊,原因在於開始導入ISO 27001前就先決定了導入及驗證範圍,並不是經由第四章的分析去決定的,造成先決定範圍再來補前面的分析資訊。個人認為第四章全景分析才是這個標準的基礎,如果從基礎開始就執行的不完整,對於後續規劃及執行會有一定程度的影響,但是因為要做好全面且完整的全景分析並非一件容易的事,建議是能考慮的部分先放進去考量,再來逐步加強分析的基礎,並修正範圍。
根據ISO組織的說明,全景的定義是營運環境內部和外部因素和條件的組合,可能對組織的產品、服務和投資方法以及感興趣的關係方產生影響,也被稱為營運環境、組織環境或組織的生態系統。此概念也適用於非營利組織、公共服務組織和政府組織。
第四章要求組織建立其ISMS的全景,確定其需求和期望以及利害關係者的需求和決定ISMS的範圍,有關各方的要求可能包括法律和監管要求以及合約義務,確定資訊安全策略和目標,以及組織如何考慮風險以及風險對其業務的影響。透過將相關的外部和內部議題(影響組織實現其ISMS預期結果之能力的議題)與利害關係者的要求相結合來確定ISMS的範圍來實現這些目標;議題不僅包括問題,這些問題本來是前一版標準中預防措施的主題(2013年版已不再強調預防措施),也是ISMS需要解決的重要主題,例如組織對於市場及相關者的保證和治理目標。結合第4.2條,這本身可以被視為治理要求;嚴格來說,不符合公眾期望的ISMS可能被判定為不符合標準。
要建立ISMS,組織需要定義ISMS,其中包括以下步驟:
一、 溝通與諮詢
建立組織全景的所有階段都應該與外部和內部利害關係者進行溝通和協商,儘早制定溝通和協商計劃;針對應解決與ISMS本身的原因及其後果(如果已知)以及正在採取的措施相關的問題,應進行有效的外部和內部溝通和協商,以確保負責實施管理流程的人員和利害關係者了解進而作出決策的依據,以及需要採取特定行動的原因。諮詢可以藉由下列方式及原則進行:
• 協助適當的建立全景。
• 確保理解和考慮利害關係者的利益。
• 協助確保充分識別相關的風險。
• 將不同的領域結合在一起,以建立全景。
• 確保組織全景、定義風險標準和評估風險時適當考慮不同的觀點。
• 認可並支持風險處理計劃。
• 在整個過程中加強適當的變更管理。
• 制定適當的外部和內部溝通和諮詢計劃。
與利害關係者進行溝通和協商很重要,因為他們根據自己的看法做出判斷。由於他們的價值觀、需求、假設、概念和關注點的差異,這些看法可能會有所不同。利害關係者的觀點可能會對組織所做出的決策產生重大影響,因此應在決策過程中識別、記錄和考慮利害關係者的看法。溝通和諮詢應促進真實、相關、準確和可理解的資訊交流,同時考慮到機密性和個人誠信方面,舉例來說:本人曾經到過一家醫院稽核,該醫院的密碼政策有關密碼長度為四碼,詢問再三才了解因為醫生記不住過長的密碼,是在考量醫生的流動性後才訂定相關密碼政策;再者,曾稽核一家以客戶資訊為主要營業內容的公司,相關的客戶資訊除了一般備份措施外,老闆決定單獨儲存一份至可攜式媒體,該媒體由專人每周攜至銀行保險箱進行更換。以上種種,都需要考量利害關係者的角度,而非經由常理或一般性的需求而決定ISMS實作的方式。過去本人曾協助過某家醫院導入ISMS,初期導入時以問卷形式詢問醫生、護理師、行政人員、主管及合約商對於資訊安全的看法以及要求,這應該是一個比較完整的做法。
二、 建立ISMS的全景
透過建立全景,組織可以確認其資訊安全目標,定義在管理風險時要考慮的外部和內部因素,並為流程設定範圍和風險標準。雖然其中許多因素與資訊安全管理框架設計中考慮的因素類似,但在為ISMS流程建立全景時,需要更詳細地考慮這些因素,特別是它們與特定管理流程的範圍有何關聯,例如經濟部要求網際網路零售業者在網際網路傳輸個人資料時須採取加密措施,這個因素在風險評估時需要納入考量,在執行控制措施也需要參考,所以執行全景分析的目標不僅是為了決定範圍,也是在做導入前的準備工作。這些分析出來的資訊,將會對後面的條文產生影響:第五章政策及人員執掌、第六章風險分析、第七章資源、第八章風險處理、第九章管理審查等都需要全景分析的資料來決定整個管理系統運作的方式,所以千萬不要認為第四章的全景分析僅僅是在決定範圍而已,下面這張圖是一個範例,從全景分析資訊去決定整個資訊安全管理系統的需求。