ISO 27001 资讯安全管理系统 【解析】(四)

伍、 第四章 全景分析
现在开始针对ISO 27001标准本文的章节来进行探讨，第一到三章是一般性标准的叙述，就不多加探讨；从第四章开始，这个章节是所有导入组织最容易轻忽且没有实际做法的部分，一般我们看到的做法是写一个全景分析表，把利害关系人的需求与期望写进去，然後就把验证或导入范围直接叙述，也不管前面的分析资讯，原因在於开始导入ISO 27001前就先决定了导入及验证范围，并不是经由第四章的分析去决定的，造成先决定范围再来补前面的分析资讯。个人认为第四章全景分析才是这个标准的基础，如果从基础开始就执行的不完整，对於後续规划及执行会有一定程度的影响，但是因为要做好全面且完整的全景分析并非一件容易的事，建议是能考虑的部分先放进去考量，再来逐步加强分析的基础，并修正范围。
根据ISO组织的说明，全景的定义是营运环境内部和外部因素和条件的组合，可能对组织的产品、服务和投资方法以及感兴趣的关系方产生影响，也被称为营运环境、组织环境或组织的生态系统。此概念也适用於非营利组织、公共服务组织和政府组织。
第四章要求组织建立其ISMS的全景，确定其需求和期望以及利害关系者的需求和决定ISMS的范围，有关各方的要求可能包括法律和监管要求以及合约义务，确定资讯安全策略和目标，以及组织如何考虑风险以及风险对其业务的影响。透过将相关的外部和内部议题（影响组织实现其ISMS预期结果之能力的议题）与利害关系者的要求相结合来确定ISMS的范围来实现这些目标；议题不仅包括问题，这些问题本来是前一版标准中预防措施的主题(2013年版已不再强调预防措施)，也是ISMS需要解决的重要主题，例如组织对於市场及相关者的保证和治理目标。结合第4.2条，这本身可以被视为治理要求；严格来说，不符合公众期望的ISMS可能被判定为不符合标准。
要建立ISMS，组织需要定义ISMS，其中包括以下步骤：
一、 沟通与谘询
建立组织全景的所有阶段都应该与外部和内部利害关系者进行沟通和协商，尽早制定沟通和协商计划；针对应解决与ISMS本身的原因及其後果（如果已知）以及正在采取的措施相关的问题，应进行有效的外部和内部沟通和协商，以确保负责实施管理流程的人员和利害关系者了解进而作出决策的依据，以及需要采取特定行动的原因。谘询可以藉由下列方式及原则进行：
• 协助适当的建立全景。
• 确保理解和考虑利害关系者的利益。
• 协助确保充分识别相关的风险。
• 将不同的领域结合在一起，以建立全景。
• 确保组织全景、定义风险标准和评估风险时适当考虑不同的观点。
• 认可并支持风险处理计划。
• 在整个过程中加强适当的变更管理。
• 制定适当的外部和内部沟通和谘询计划。
与利害关系者进行沟通和协商很重要，因为他们根据自己的看法做出判断。由於他们的价值观、需求、假设、概念和关注点的差异，这些看法可能会有所不同。利害关系者的观点可能会对组织所做出的决策产生重大影响，因此应在决策过程中识别、记录和考虑利害关系者的看法。沟通和谘询应促进真实、相关、准确和可理解的资讯交流，同时考虑到机密性和个人诚信方面，举例来说：本人曾经到过一家医院稽核，该医院的密码政策有关密码长度为四码，询问再三才了解因为医生记不住过长的密码，是在考量医生的流动性後才订定相关密码政策；再者，曾稽核一家以客户资讯为主要营业内容的公司，相关的客户资讯除了一般备份措施外，老板决定单独储存一份至可携式媒体，该媒体由专人每周携至银行保险箱进行更换。以上种种，都需要考量利害关系者的角度，而非经由常理或一般性的需求而决定ISMS实作的方式。过去本人曾协助过某家医院导入ISMS，初期导入时以问卷形式询问医生、护理师、行政人员、主管及合约商对於资讯安全的看法以及要求，这应该是一个比较完整的做法。

二、 建立ISMS的全景
透过建立全景，组织可以确认其资讯安全目标，定义在管理风险时要考虑的外部和内部因素，并为流程设定范围和风险标准。虽然其中许多因素与资讯安全管理框架设计中考虑的因素类似，但在为ISMS流程建立全景时，需要更详细地考虑这些因素，特别是它们与特定管理流程的范围有何关联，例如经济部要求网际网路零售业者在网际网路传输个人资料时须采取加密措施，这个因素在风险评估时需要纳入考量，在执行控制措施也需要参考，所以执行全景分析的目标不仅是为了决定范围，也是在做导入前的准备工作。这些分析出来的资讯，将会对後面的条文产生影响：第五章政策及人员执掌、第六章风险分析、第七章资源、第八章风险处理、第九章管理审查等都需要全景分析的资料来决定整个管理系统运作的方式，所以千万不要认为第四章的全景分析仅仅是在决定范围而已，下面这张图是一个范例，从全景分析资讯去决定整个资讯安全管理系统的需求。