ISO 27001 轉版筆記 -3- 主條文 4 組織全景檢視
需針對組織的全景做通盤考量
不一定要納入表單,但是要有考量、列舉以及討論的結果呈現出來總和來說,需要檢視「組織的內外部資安議題」、「各利害團體的期望」
分別列出上述資料後,有兩個地方要使用到這些資料:
1. 風險評鑑,必須將上述資料納入風險評鑑考量
2. 管審會議,必須將上述資料丟到會議上討論
關於風險評鑑,在 ISO27001:2005 完全以資訊資產來作為出發點,然則在2013版,就不一定了,要不要繼續保持以資訊資產來作為出發點,就看你的組織想要怎麼進行囉!
「組織的內外部資安議題」
例如、外部駭客採用社交工程詐騙議題、內部行政對資料保護不足議題
「各利害團體的期望」範例
例如、盡速開發功能強大的軟體,期望者是股東、客戶
何為利害團體?
Leave a Reply