ISO 27001 资讯安全管理系统 【解析】(十七)

柒、 第六章 风险管理
这个章节是ISO标准设置来取代以前「预防措施」的概念，在条文中首先强调的是风险与机会的对应，在资讯安全管理系统中很难想像所谓的风险与机会，风险通常代表损失、机会通常代表盈利，资讯安全与盈利看似永远无法连结，我们看到的只有破坏、复原与损失。从整个第六章来看，标准所叙述的风险规划区分两个部分：
• 与ISMS整体预期成果相关的风险与机会
• ISMS范围内丧失机密性、完整性及可用性相关的资讯安全风险
第一个部分，条文6.1要求将第四章分析的全景资讯做进一步地了解、决定在资讯安全管理系统中所要面对的机会与风险、规划因应之行动并监控这些行动的有效性，以确保这些行动预期的结果已经融入ISMS所要执行的事项中并结合原有的流程与文件化资讯，预防或减轻前述的风险，并藉由持续改善的精神完成前面4.1、4.2的需求与期望。在这个阶段，管理阶层需要决定可以接受风险之程度以及风险处理的结果是否符合其预期的成果，以及评估行动效果是否符合原先的预期成果。从机会的角度来看，组织可以从资讯安全的角度检视本身业务领域中的产品或服务，为这些业务领域提供策略或者延伸夥伴关系达到组织本身营运目标。在导入ISO 27001的过程中，会检视现有流程及相关介面，对於现有制度可创造精进的机会，有时候甚至可引进新的技术达到营运的目标，这就是所谓的机会。所以此处有两个重点，一是机会与风险并存，第二是需要利用成本效益的概念来处理风险，为组织效益达到最大化，以下举个例子来说明会比较清楚：
【组织】：某网际网路零售业者
【背景分析】：
外部议题：
104年颁布，网际网路零售业及网际网路零售服务平台业个人资料档案安全维护计画及业务终止後个人资料处理作业办法，第 13 条、四、传输个人资料时，应有适当安全之防护机制。
利害关系者需求与期望：
主管机关经济部希望业者遵守法令、消费者期待个人资讯传输受到良好的保护，无外泄之虞。
机会与风险之规划：
面对法令规范、主管机关要求及消费者的期待，规划网站与消费者间传输资料可以有三种行动以因应机会与风险如下：

从上面规划的行动来看，面对机会与风险可以有多种选择，并非一成不变或一定要处理到何种程度，而是需要经过完整的分析。在整个管理系统的规划中，经过管理阶层的考量，选择最适合组织的行动，才是整个管理系统的精神。当然你或许有个疑问，允许违法难道是可以接受的行动吗？用这个例子，只是说明条文的精神及作法，至於组织本身如何规划或接受风险，暂不在此处讨论。