ISO 27001 资讯安全管理系统 【解析】(十四)

二、 资讯安全政策
高阶管理者必须订定资讯安全政策，这个政策应与组织高阶策略一致，可以从第四章全景分析资料中得到基础资讯，再利用这些资讯去完善相关资讯安全政策，例如：第三方合约要求保护所提供之个人资料，如果违反合约将遭致法律及赔偿等处罚，所以资讯安全政策中应包含保护机敏性资讯的叙述及目标。通常政策是作为一种高阶的宣示，确认资讯安全管理的目标及方向，提供框架让後续的管控措施或其他管理行为有一个依据，也能让所有人都能实际体认组织对於资讯安全管理的高阶规范。典型的组织通常对於政策区分三个等级，等级最高的是一般政策(组织策略、行为守则)，再来是各种管理类型的政策(资讯安全政策、品质管理政策)，第三种则是细部程序规范需要遵守的政策(存取政策、密码政策等)，藉由等级分类，使得组织由上到下都能有一定的规范可以遵循，并且以阶层式的安排，使得政策间有其依循性，下图显示了政策的阶层。

(一)发展政策时除了参考第四章全景分析的资料以及高阶管理者的意见外，还需要考量的事项如下：

1. 组织的愿景与方向
2. 策略调整以适应组织目标
3. 组织架构与流程调整
4. 愿景与方向与政策的整合
5. 考量高阶管理策略的关联性
6. 政策驱动目标群组
   

(二) 发展资讯安全政策的关键要素：架构说明

1. 目的：
   为了建立资讯安全的通用规则、检测并防止资讯安全的损害等，组织基於各项因素建立资讯安全政策，例如：避免滥用资讯/网路/应用系统和程序、在道德和法律责任方面保护组织的声誉、遵守客户的要求、提供有效的架构来回应有关实际或感知到的违反政策之讯息。
2. 范围：
   资讯安全政策应详细说明哪个部门及哪种工作是在政策要求下执行，这边的范围要看组织自行的定义，有些组织导入范围与验证范围不同，比较好的做法是资讯安全管理政策应扩及全组织。
3. 资讯安全目标：
   条文中的要求是包含资讯安全目标（见第6.2条），或提供资讯安全目标设定的框架；组织需要在管理上达成具共识性、策略性且明确定义的资讯安全目标，任何现有的不协调都可能导致资讯安全策略无法正常运行，因此简化政策叙述是必要的，可以消除分歧并确保各阶层及不同部门管理人员之间达成共识。尽量避免模棱两可的表达，理想情况是应当简明扼要地制定政策。应避免重复使用该政策的措辞，因为这会使文件冗长、不同步并且难以辨认，因此，当想要强制执行新规则时，高阶管理者如何看待资讯安全是第一步，此外如果组织具有相当大的架构，策略可能会有所不同，因此应加以隔离，以便在组织的预期下定义相互间的资讯安全，资讯安全被认为可以维护三个主要目标：机密性、完整性及可用性，范例如後：(1)注意所有可能的威胁类型。(2)通过积极的威胁减少机制消除所有可能的威胁。(3)制定适当的政策、程序和已知的应用技术，以最大程度地减少潜在的安全威胁。(4)制定适当的策略、程序和经过验证的技术，以识别和处理针对组织的实际安全攻击。
4. 原则：
   描述为了达成目标所采取的行动或规则，在某些情况下可以帮助找到流程中与政策的关联性，例如：政策是确保资讯的机密性，则订定存取控制原则，找出相关流程如何控制存取。通常一般工作人员不能共享他们所拥有的少量资料，除非明确授权；相反，管理者可能具有足够的权限来决定可以共享哪些资料以及与谁共享资料，所以不会被相同的资讯安全策略条款所束缚。因此，逻辑上要求资讯安全政策应订定原则来解决组织中不同层级的规范，而不是依循大方向的策略，只要是员工就不能分享资料。
5. 人员的责任、权利和义务：
   指派相关人员负责前面所规范的行动，并针对政策的可归责性提出说明。在部分例子中，也可以说明相关所指派人员的责任、授权及所依循的政策原则。
6. 相关政策：
   与资讯安全有关连性的相关政策、要求或需求。
   基本上对於政策订定的做法有很多种，建议采取一种对组织适合的方式去订定。简单、清楚、容易阅读，是比较合适的资讯安全管理高阶指引制定重点。