ISO 27001 轉版筆記 -8- 主條文 7.4 溝通傳達
主條文 7.4 要求組織必須針對溝通傳達這件事情下功夫,7.4是一個總體的要求,但除此之外,其他像主條文 5.3、6.2以及控制項A5.1、A7.2.3、A7.3 等部分,都有提到,要求組織要針對這些部份去訂出溝通傳達的辦法。
其實總合來說,就是要進行有效的宣導,比如抽問員工是否知曉公司的懲處相關規定?如果員工不知道,就是沒有盡到傳達、宣導的責任。
- 可以制定專門的溝通程序,以後凡是組織內的溝通與傳達都按照標準程序來。
- 也可以在每個需要溝通傳達的地方,自行訂定程序,只要內容符合 7.4 的要求就可以了。
有要求盡到傳達責任的部分概述如下:
7.4 要求溝通方法之訂定
溝通內容應該有:(a)溝通傳達事項、(b)溝通傳達時間、(c)溝通傳達對象、(d)溝通傳達的負責人員、(e)溝通傳達的過程
5.3 組織角色與權限
要對組織的資安架構、角色權限做溝通傳達。
6.2 資安目標傳達
組織的資安目標,應進行溝通傳達,例如、訂定資安目標後,應於目標生效日起一個月內,由 [某資安角色] 以EMAIL方式向相關人員進行傳達,相關人員之範圍,依不同資安目標而不同,應訂於該目標的附屬計畫內。
7.3 認知
主條文 7.3 非常嚴格的要求,所有控制內的工作人員 (也就是你的 ISO27001 涵蓋範圍),都要知道以下三件事情:
(a)資安政策、(b)他們對於資安系統的貢獻(換言之,大家努力遵守資安到底對公司有甚麼好處)、(c) 沒有遵守規定會有甚麼後果。
換句話說,就是要做到這三件事情的溝通傳達。
A5.1 資安政策
組織的資安政策,應進行溝通傳達。
A7.2.3 員工懲處
組織有甚麼樣的員工懲處相關規定,應進行溝通傳達。
A7.3 離職後保持之要求
組織的資安相關要求,離職後也要遵守,對於這部分應進行溝通傳達,也必須要有相對應的協議書或離職時的簽署條款,來做要求。
Leave a Reply