ISO 27001 轉版筆記 -3- 主條文 4 組織全景檢視

需針對組織的全景做通盤考量

不一定要納入表單,但是要有考量、列舉以及討論的結果呈現出來總和來說,需要檢視「組織的內外部資安議題」、「各利害團體的期望」

分別列出上述資料後,有兩個地方要使用到這些資料:

1. 風險評鑑,必須將上述資料納入風險評鑑考量

2. 管審會議,必須將上述資料丟到會議上討論

關於風險評鑑,在 ISO27001:2005 完全以資訊資產來作為出發點,然則在2013版,就不一定了,要不要繼續保持以資訊資產來作為出發點,就看你的組織想要怎麼進行囉!

「組織的內外部資安議題」

例如、外部駭客採用社交工程詐騙議題、內部行政對資料保護不足議題

「各利害團體的期望」範例

例如、盡速開發功能強大的軟體,期望者是股東、客戶

何為利害團體?

 

You Might Also Like

Leave a Reply

這個網站採用 Akismet 服務減少垃圾留言。進一步了解 Akismet 如何處理網站訪客的留言資料