ISO 27001 资讯安全管理系统 【解析】(五)

三、 建立外部背景
外部背景是组织寻求达成目标的外部环境。了解外部背景非常重要，是为了确保在订定安全风险标准时已考虑外部利害关系者的目标和关切事项。基於组织范围的全景，并具备法律和主管机关要求的具体细节、利害相关者的看法以及特定於资讯安全管理过程范围的其他方面，例如：资通安全管理法要求定期执行营运持续演练等要求，外部背景可包含但不限於下列事项：
• 社会和文化、政治、法律、监管、金融、技术、经济、自然和社会；
• 竞争环境，无论是国际、国家、区域还是地方；
• 影响组织目标的关键驱动因素和趋势；
• 与外部利害关系者相关的关系、观念和价值观。
与ISMS相关的外部议题范例：
(一) 法律和监管
• 合约要求：合约是法律上可强制执行的承诺交换。组织签订的任何协议都必须遵循固定作法，否则可能无效。
• 资通安全管理法：适用机关对於相关法令要求必遵守并於ISMS中实作。
(二) 文化
• 骇客攻击和未经授权的通信截取是常见的问题，这可能会影响「机密性」。
• 工资很低，因此贿赂是一种永远存在的威胁，这可能会影响「机密性」。
(三) 运作能力
• 电力：电力设施故障很常见并且过去曾发生过。由於当地电力需求增加导致电源中断（新建筑和扩展业务：基础设施无法应对），曾经发生分区供电。这种问题也打断了IT通连性。这可能会影响「诚信」。
• 客户期待最先进的技术、资讯提供速度和客服处理报告可现性（统计数据）。对服务水平协议中包含的承诺会产生影响。
(四) 位置
• 实际位置：组织的位置是一个高犯罪率的区域（由於附近有许多高科技企业）和相邻的办公室曾经被小偷攻击，这可能会对「机密性」产生影响。
• 环境 ：是否发生特别的水灾或地震。
(五) 竞争者
• 员工可以将研发资料或客户资讯提供给竞争对手。办公室附近有许多竞争对手。员工通常可以快速从组织转移到竞争对手。这可能会影响「机密性」。
(六) 经济压力
• 当竞争对手面临新的营收压力时，他们更有可能从组织的主要员工那里非法获取客户的资讯来源。这还可能需要对主要工作人员进行窃取帐号等资讯，关键员工可能会严重影响组织。这可能会影响「机密性」和研发方案的可行性。
• 在财务紧缩时期，客户正在寻求节省成本的替代方案，因此组织看到销售谘询大量增加导致内部资源以及IT和资讯安全系统压力增加。

四、 建立内部背景
内部背景是组织寻求达成目标的内部环境。资讯安全管理流程应与组织的文化、流程、架构和策略保持一致，内部背景主要在分析组织内部的关键性问题，如：在导入管理系统之前，组织是如何执行资讯安全管理这件事情？为什麽要导入新的管理系统？到底有甚麽地方或是因素导致原来的管理系统无法做好资讯安全的管理工作？或者是有甚麽地方可以再改进，让管理更能够效能化？相关内部议题包括组织管理架构、问题处理的方式、资源、人力、组织现行的状况等，为了让所建立的管理系统能够适合组织的运作，这项分析工作是必要的，而且有助於管理系统与组织作完整且密切的结合，不会使管理系统与组织分别运行，造成叠床架屋的情况。管理系统最难管控的是人，如果在内部议题分析中能够明确了解组织人员运作的规则，对接下来的管理系统设计规画将有很大的助益。
了解内部背景，可以包括但不限於下列事项：
• 治理、组织结构、角色和责任。
• 政策、目标和实现这些目标的策略。
• 在资源和知识方面（例如资本、时间、人员、流程、系统和技术）理解的能力。
• 内部利害关系者的关系、观念和价值观。
• 组织的文化。
• 资讯系统、资讯流和决策过程（正式和非正式）。
• 组织采用的标准、准则和模型以及合约关系的形式和范围。
内部背景是组织内可以影响组织管理其安全风险的方式的任何内容，因为下列事项所以需要建立内部背景的分析：
• 风险管理是在组织目标的背景下进行的
• 应根据整个组织的目标考虑特定项目、过程或活动的目标和标准
• 组织未能认识到实现其策略、专案或业务目标的机会，这会影响组织的持续承诺、信誉、信任和价值。
与ISMS相关的内部议题范例：
(一) 资讯系统
• 资讯系统老旧，需要更换。新的系统将更加复杂，可能更难以维护。
(二) 组织文化
• 从组织以往做法来看，公司一直以客户业绩为导向，业务的需求超过了其他考虑因素，例如「机密性」及「完整性」。
• 文化导致策略方向与资讯系统政策之间的差异。资讯系统与组织销售流程的整合一直有问题，并且面对竞争威胁时，最高管理者会牺牲资讯安全的要求。
(三) 内部利害关系者的关系、观念和价值观
• 分析员工流动率很高，代表员工可以在离职时随身携带重要资讯。
• MIS部门员工的技能水平有限，因此有文件化的流程和指引比实际人员协助更为重要。
• 人员可能无法充分认知到资讯系统政策的性质及其重要性和後果，因此更有可能发生资讯安全事件。
• 人员认为资讯安全仅仅是资讯安全部门的事，与其他人无关。
(四) 人力资源安全和能力（知识）
• 员工流动率高导致保留核心知识方面遇到困难，例如系统维护及客户关系。
• 工作人员是从低阶劳动力中招募的，由於工资和技能预期较低，他们可能在经济上或受过良好教育方面都不会很好。这容易使他们受到贿赂和贪腐的影响。
(五) 治理、组织、角色和责任
• 作为一家小型企业，原先的管理团队保留其相关责任及领导，随着公司的成长，原有管理阶层需要被尊重。
• 公务机关高阶领导者通常不愿意为资讯安全背负责任。
(六) 标准工作程序和指引
• 工作流程尚未被记录，仅由高阶人员所保留和拥有。
• 随着组织的成长规模愈来愈大，缺乏文件规范可能会衍生问题。
• 流程规范及文件太多，但都没有被妥善运用，文件只是用来阅读，并没有被应用在实务上。
(七) 与供应商的合约关系
• 作为一家小型新企业，我们的购买力和影响力受到限制，所以我们无法在合约中包含资讯安全要求，因此一些供应商也没有与我们签订正式合约，因此我们的ISMS范围不包括所有IS委外流程。由於「资讯系统开发」是目前的委外流程之一，这自然会引起客户对「机密性」和「诚信」的担忧。