ISO 27001 资讯安全管理系统 【解析】(六)

五、 了解利害关系者的需求和期望
组织必须确定与资讯安全管理系统相关的利害关系者及其要求，有关利害关系者的要求可能包括法律、监管要求以及合约义务，必须识别对组织的ISMS感兴趣的所有人，并且确定他们的要求，包括需求和期望。可以从找到对资讯安全感兴趣的关系者开始，即可以影响资讯安全/业务连续性的个人或组织，或者可能受您的资讯安全或业务连续性活动影响的个人或组织。
相关的利害关系者可以包括：
• 员工
• 股东/业主
• 政府机构/监管机构
• 紧急服务（例如：消防员、警察、救护车等）
• 客户
• 员工家属
• 媒体
• 供应商和合作夥伴
• ......以及您认为对您的营运很重要的任何其他人。
如何识别这些利害关系者？可以询问高阶管理人员以及部门负责人，了解谁对他们的业务很重要，然後评估他们是否对组织的资讯安全或业务连续性感兴趣，另外从组织现有文件（例如：营运计划）中可能也会有可参考的资讯。
确定利害关系者後，接下来组织必须考虑他们的需求和期望，应特别集中在与资讯安全相关的需求和期望。条文中并没有将这些列入文件化的需求，但建议还是要有纪录，可以运用在其他的条文要求中，例如第八章风险处理、第九章管理审查等。在前一版的ISO 27001:2005中，利害关系者的需求仅限於反馈和沟通；2013年版的ISO 27001高阶管理架构中这些是ISMS的核心，法律、监管要求以及合约义务包含在利害关系者的要求中，必须确定所有感兴趣的人都希望组织遵从及满足他们的要求，例如：股东希望投资的安全性和良好的回报；客户希望您遵守与他们签订之合约中的资讯安全条款；主管机关希望您遵守资讯安全法令规章；媒体要快速准确报导与您的资安事件有关的新闻等。
组织必须明确说明哪些法律法规、合约中存在哪些与自身相关的资讯安全条款，而蒐集这些资讯的最佳方式是研究他们的书面要求（法律、合约等）。获得所有这些资讯後，需要安排及分配资讯安全性或业务连续性，以符合利害关系者期望，这就是说必须在开始导入建置ISMS的详细资讯之前确定相关要求。
建议律定一个程序，明确订定所有利害关系者及其法律、监管、合约和其他要求的责任与做法，定义谁负责更新此资讯以及执行此类分析的频率。如果组织规模很大，通常设有合规部门或合规人员可负责此类分析，法律部门是第二人选，最後才是负责资讯安全或业务持续性的人员。确定了这些要求後，应明确区分落实相关要求的责任以确保符合这些利害关系者的要求，例如：IT部门将负责遵守技术要求，人力资源部门负责保密声明，资讯安全人员负责更新政策和程序等。
了解有关各方利害关系者的需要和期望的范例如下：

(一) 客户
他们的要求如下：

1. 根据合约内资讯安全要求提供产品、服务和维护支援。
2. 在发生任何资安事件而导致营运中断时仍然能够提供产品、服务和维护支援。
3. 根据适用的法律资讯安全要求提供产品、服务和维护支援。
4. 根据任何其他适用的行业、第三方或最终用户要求（例如NCC、经济部等）提供产品、服务和维护支援。
5. ISO 27001合规性
6. 99.9％的系统可用性
7. 回应SLA（4小时回应 - 联络中心）
8. PCI DSS要求

(二) 使用者
我们的产品和服务与各类型使用者互动，他们的要求如下：

1. 使用系统可在使用者需要时提供。
2. 产品和服务可靠、简单（使用）。
3. 使用上能够简单方便上手，容易找到准确、完整和最新的使用者详细资讯。
4. 产品和服务能够充分保护个人资料（联系方式）和敏感的个人资料（特种个资）。
5. 如果发生中断，可以继续营运直接提供的产品和服务，并继续为客户提供的产品和服务提供支援（使用系统）。

(三) 合作夥伴
合作夥伴可能是代理商或系统合作夥伴、人力公司或其他人。如果我们有违规行为，他们的声誉可能会受到损害，反之亦然。我们与一些主要合作夥伴的合约可能有或需要资讯安全条款，他们的要求如下：

1. 我们提供他们所需的任何正确和完整的技术资讯，使他们能够修改，使功能增强或修正错误，以使我们能够开发与之通信和交换资料的软件。
2. 我们根据任何双方同意的时程开发软件。
3. 我们的合作关系不会因我们任何员工的离职或缺勤而受到不利影响。
4. 我们遵守任何保密及资讯不揭露协议。
5. 我们提供必要的培训，使经销商能够销售我们的产品和服务。
6. 遵守合约协议。

(四) 供应商和承包商
供应商是上游厂商，我们使用供应商所提供的服务，如果我们发生资讯安全事故，也可能导致供应商声誉受损，最後导致双方不信任，进而影响供应品质，他们的要求如下：

1. 期待我们购买他们的产品和/或服务。
2. 如果适用的话，我们在需要技术支援时提供完整和正确的资讯。
3. 如果适用的话，我们使用他们的技术进行维护及支援。
4. 遵守合约协议。
5. 遵守付款条款。