ISO 27001 资讯安全管理系统 【解析】(十二)

3. 资通安全责任等级
   依照资通安全责任等级分级办法，由主管机关核定相对应之等级，按照等级决定导入系统之验证范围，例如：A级机关初次受核定或等级变更後之二年内，全部核心资通系统导入CNS 27001或ISO 27001 等资讯安全管理系统标准、其他具有同等或以上效果之系统或标准，或其他公务机关自行发展并经主管机关认可之标准，於三年内完成公正第三方验证，并持续维持其验证有效性。
4. 资通安全维护计画
   首先要说明的是，虽然前面依照资通安全责任等级分级办法的要求，需要验证核心系统，但并不代表组织可以忽略其他部分，这一点在资通安全维护计画的范本中可以得到证明。首先资通安全维护计画的范围是适用全组织，并非只有核心系统，换言之，整个资讯安全管理制度(资通安全维护计画所规范的事项)是所有人都应该要遵守的，在计画中除了核心系统外还有非核心系统，并且需要了解业务失效的影响以及最大可容忍中断时间。从此处来看，资通安全维护计画范本是参考条文第四章的精神，请各组织先行针对背景资讯进行分析，才能写出前面这些资讯。
   综合以上步骤，有关资安法适用机关的范围订定，建议是先从验证范围(核心系统)进行导入及验证，再逐步扩展至全组织；当然如果组织有足够的支持、人力及资源，一次性将所有单位导入，这也是很好的做法，但是一定要事先妥善评估，免得导入时遇到太大的阻力而无法顺利完成。适用机关一定要能明确区分业务及系统，核心业务不一定会有系统来支持，但机关一定有核心业务，而这些业务资讯的机密性、完整性及可用性是资讯安全管理系统需要管理的范围。并不是一定要有一个资讯系统才能建立资讯安全管理系统，请不要把业务与范围混淆，造成管理上的疑惑。

(二) 非资通安全管理法适用组织
对於未受到资通安全管理法规范的组织，可能有部分还是会受到资通安全管理法或其他法令的影响，所以我们建议的步骤如下：

1. 确认法规命令：除了资通安全管理法之外，还有其他法令规范要求导入或验证ISMS，例如教育部对私立大专院校、卫福部对地区等级以上医院、经济部对电子发票加值中心、金管会对提供线上投保的保险公司等，都有一定的规范，如果适用，应该依照法令规范订定范围。

2. 为何需要ISMS：一般组织需要导入ISMS都有其目的，请先了解为何需要ISMS？可能是客户要求、可能是觉得某项业务的资讯安全非常重要以致会影响组织生存目标。

3. 核心业务：从前面两项分析中寻找出组织赖以生存的核心业务，在从业务中寻找其依赖的核心系统，这个步骤与前面相同。

4. 决定适用范围：依照前面的分析，采取下列方式之一(或者可以用混合的方式)，来决定ISMS最佳适用范围：
   (1) 以部门别定义：提供资讯中心办公区之资讯安全管理活动
   (2) 以应用系统别定义：供客户服务系统、行政管理系统之开发、操作与维护之资讯安全管理活动
   (3) 以产品/业务别定义：主机代管机房、网路维运部之资讯安全管理；资安检测中心之安全维运管理
   (4) 以实体区域定义：电脑机房、研发中心之资讯安全维运管理

5. 范围边界及关联性管控：针对边界及关连性之风险明确规范管理的方式及要求(例如：委外)。

6. 管理阶层核准：高阶管理者应针对范围予以纪录并正式核准，以确认高阶管理者能接受之范围。