ISO 27001 轉版筆記 -6- 控制項 A.6.1.5 專案管理之資訊安全
所謂專案,就是特定的一段時間內,以特定的資源(包含人力)去完成的一或多項任務,即為專案。
當然,若過評估,確認組織不會以專案型態運作,請自行在適用性聲明書中排除之。
在 2005 版內,沒有特別針對專案相關的資訊安全去做規範,但在 2013 版內,則在控制項 A.6.1.5 內,要求組織針對專案管理進行一些資訊安全方面的作為。
最基本的,就是要把專案管理納入風險控管,但是風險評鑑再頻繁也通常是每半年進行一次,即便大多數的風險評鑑程序都會補一句:如有其他狀況應針對特定範圍進行風險評鑑。但這樣其實很模糊,所以,建議在程序書內,規畫有關專案型態的風險要如何進行評估跟控管。
例如、可以仿照風險評鑑的內容,要求未來的專案申請書內,需附上風險評估報告,含:衝擊資產、風險因子列舉及其風險擁有人,以及接受/不接受風險的評估論述,最後需要有風險擁有人的核可以及管理階層的核可…等等。
Leave a Reply