ISO 27001 轉版筆記 -5- 主條文 6.2 資安目標及其達成之規劃
主條文 6.2 要求組織必須要設定資安目標,還要訂定待辦事項、量測方法等等細節,來確保資安目標確實有被達成。
在2005版,大部分會提到資安目標的地方都是在資訊安全政策裡面,會提到有一些資安目標或是指標,而在2013版之中,這件事被要求更加地具體化列出,以 2005 的作法,通常會被列出的都是組織長期會希望達成的目標,然而對於短期目標沒有涵蓋到。
在 2013 的話,短期的、一次性的這些資安目標都應該被納入,你必須針對這些資安目標去列出你的待辦事項、所需資源、負責人員、完成時間還有結果評估之方式。
最後面這一項超級繞口的「結果之評估方式」,其實就是指你要怎麼來監督量測、檢視、評估你的目標達成的情形。
好比說你有個年度的資安目標是主機 24 小時不中斷,那麼一樣可以有個監督量測的週期,例如你使用 MRTG 來做檢視紀錄,數據量測週期是每分鐘。然後你每個星期都會檢視一次斷線時間,並計算本周斷線時間為 ?? 分鐘,合計 ?? %。
最後一整年下來,你就得到了52份斷線結果評析,你也就知道你是否達到資安目標了。
最後,這個資安目標也不是隨隨便便阿貓阿狗目標都可以列入,他也是有一些基本要求的,在主條文 6.2 裡,要求這個資安目標必需要:與資安政策一致、可量測的、必須要背確實地傳達給各個需要知道的人員、需在適當的時候更新以及必須要去考量適用資安要求、還有對其進行風險評鑑、風險評鑑的處理結果等等…
Leave a Reply