注意:自本篇文章開始,會使用 「主條文」(Clause) 一詞來簡稱 ISO 27001:2022 的本文。
在組織中,管理制度會依照其管理範疇 (Scope) 而有所不同,可以廣到適用於整個組織,也可以細緻到只管理一個過程或活動,對制度規劃者而言,在思考如何設計制度之前,要先對其範疇有所了解,否則可能要設計什麼都不知道,對一個初次接觸導入管理系統標準的新手而言,除了管理系統標準的要求以外,首先必須要對組織本身有所了解,包含組織本身的營運過程以及哪些因素會影響到組織的運作或決策,而這些有一個名詞統括稱呼它—組織全景 (The context of organization)。
Context 這個字在翻譯領域算是相當知名的魔王級詞彙之一,有些地方會看到「上下文」,有些地方會看到「前後環節」(如ISO 31000:2018對應的中譯版CNS 31000:2021),IT界常用「環境」或「情境」來翻譯它,這裡使用的譯詞來自於ISO 27001:2022對應的中譯版CNS 27001:2023。
在ISO管理系統高階結構中,組織全景是每套管理系統都會要求的項目之一,畢竟ISO管理系統針對的對象是組織,一般都會用整個組織的高度來檢視,若是大型組織,則可能會劃分以分公司或事業群的方式依各個功能性組織的特性做制度設計,而對中小企業而言,原則上就會是檢視整個企業組織,這意味著制度制訂者必須要透視整個組織、理解營運過程、與各個營運過程的團隊或主管群訪談,分析其過程、需要、期待等等,將它揉進制度的範疇內,以準確的定義出適合的管理制度。
組織全景可以分為內部全景 (Internal context) 以及外部全景 (External context)。
Internal context is internal environment in which the organization seeks to achieve its objective. (ISO 27000:2018 3.38)
內部全景是指組織尋求達成其目標的內部環境。
External context is external environment in which the organization seeks to achieve its objective. (ISO 27000:2018 3.22)
外部全景是指組織尋求達成其目標的外部環境。
組織內部環境包含很多,例如組織願景與使命、組織結構與角色權責、組織策略目標、組織文化、組織過程、組織資源與知識、資訊與資訊流、合約關係、相互依存性與連結性的;外部環境則包含如政策、社會、文化、政治、法令規章、經濟、技術與環境因素、影響組織目標的關鍵驅動因素、外部利害關係人、契約關係及承諾,以及與外部關係的依存性與連結性等等。
透視組織全景可以讓制度制訂者能理解組織的各個層面、現行制度、與現行制度有關聯的人事物、對外的合作關係、合規性、與外部的依存性等等,這些因素都可能會對管理制度有著直接與間接的影響,這些影響有可能是正面的或負面的。
主條文 4.1 要求組織必須檢視與自身的ISMS預期成果具有影響力的內部與外部議題,因此ISMS的規章內必須制訂針對「組織全景」的議題的分析過程,以及這個過程所留下的證據。
在透視組織全景的過程中,一定會發現有某些因素對組織具有相當的影響力,例如客戶、供應商、國家政策、人員權力等,這些個人或組織稱為關注方 (Interested Party)。
Interested party is person or organization that can affect, be affected by, or perceived itself to be affected by a decision or activity (ISO 27000:2018 3.37)
關注方是能夠影響決策或活動、受決策或活動影響或認為自己受決策或活動影響的個人或組織。
就如同專案管理的利害關係人 (Stakeholder) 一樣,利害關係人對專案的執行過程有其影響力,可能會影響專案經理,或能具影響可影響專案經理的決策的其他人員 (如總經理或是專案管理辦公室主管);關注方具有對組織的影響力,能影響組織的決策以及管理系統,因此必須要在分析組織全景時予以關注,以避免因為忽略關注方導致的不確定性 (例如未符合法規或契約規範),在分析關注者時,要注意關注者的要求與期望,並且將這些納入制度範圍內,避免制度執行的結果無法滿足關注者需求與期望而導致的不確定性。
注意,關注方和利害關係人看起來很像,都對組織制度與決策有影響力,然而利害關係人是指人,而關注方除了人以外還包含組織、實體等,就涵蓋面而言,關注方會比利害關係人要大,因此ISO不使用利害關係人而使用關注方是有其意義。
主條文 4.2 要求組織必須分析會影響組織ISMS制度的關注方需求與期望,因此ISMS的規章內必須制訂針對「關注方需求與期望」的議題的分析過程,以及這個過程所留下的證據。
由於組織全景是ISMS的起點,因此通常都會作為政策下的第一份程序文件,當然組織也可以依自己的習慣或知識結構制訂在適當的階層。