现况访谈与差异分析

现况访谈

旨在确认资安目标与导入范围

差异分析

在现况谈访中依据 ISMS 内建的 114 个控制项内容做为提问方向，佐以亲切的日常用语表达方式与高阶主管们、验证范围相关单位聊聊，在愉快的谈天说地过程中，精准切入控制项目问出实际现况，汇整为「差异分析报告」提供客户。

差异分析报告的精准度取决於被访谈对象是否如实回答顾问，若被访谈对象过度美化现况，差异分析时将产生重大偏差，无法切合现况并做出正确处置。

迷思

1. 范围越小，越容易通过验证...
2. 找资讯机房等范围来通过验证，如此对机关的冲击才不致过大...

建议

1. 进行业务冲击分析(Business ImpactAnalysis, BIA)，了解在所有业务范畴内，依业务的重要性来决定导入的范围。
2. 参考企业或机关的关键核心业务内容，指定验证范围，
3. 依据法令要求，选定导入范围及验证范围。

名词说明

1. 导入范围:哪些人/组织/环境...需要遵守 ISMS ?
2. 验证范围:向验证机构申请到场审查哪些标的?，例如:流程/系统/建筑物...详如 ISO/IEC 27006:2015、验证机构认证规范)
3. 关键核心业务:没做好企业/机构会倒、高阶主管与○○长会被抓去关

访谈过程应全程纪录且留存备查:
1. 会议纪录、签到表
2. 差异分析检核表
3. 差异分析报告

资料来源:
ISMS/PIMS顾问辅导
ISMS 资讯安全管理系统
政府机关为何要导入ISMS
公司为何要执行 ISMS资安管理系统 ?
JCIC「全组织一次通过」 ISO 27001资安验证经验分享