2023-07-19|閱讀時間 ‧ 約 3 分鐘

ISO27001:2022(CNS 27001:2023)主文 4.組織全景

4.1瞭解組織及其全景

組織應決定與其目的有關且影響達成其資訊安全管理系統預期成果能力之外部及 內部議題。

組織目的:

公機關與私機關目的根本上不同,公機關目的為執行政府所分配之任務如:協助人民進行戶籍登記、為人民提供安全服務等。私機關即為私有企業,目的無外乎是盈利相關,但每個企業所提供之服務都有所不同,如:電信服務、電商服務、金融服務、顧問服務等。

依照組織的目的不同,其內外部議題也會有所不同。

內部議題舉參考

  • 治理、組織架構、角色及當責。 
  • 政策、目標及其達成之策略。 
  • 資訊系統、流通及決策過程 。
  • 組織文化。 
  • 契約關係之形式及範圍,包括,例:外包的活動。 

外部議題參考

  • 文化、社會、政治、法規、財務、 技術、經濟、自然環境及市場競爭, 不論其是否為國際性、國家性、區域性或地方性。 
  • 競爭對手、承攬商、再承攬商、供應者、合作夥伴、新技術、新法令及新職業的出現。 
  • 影響組織之產業或行業相關的驅動力及趨勢。 
  • 與外部利害相關者之關係,以及觀點與價值觀。 
  • 任何上述議題相關的改變。 

4.2瞭解關注方之需要及期望

組織應決定下列事項:
(a) 與資訊安全管理系統有關之關注各方。
(b) 此等關注方之相關要求事項。
(c) 此等要求事項中之哪些要求事項,將透過資訊安全管理系統因應。 備考:關注方之要求事項可能包括法律及法規要求事項,以及契約義務。

內部關注方

董事會、稽核室、主管、使用單位等。

外部關注方

政府機關、契約方、承包商、客戶​等。

4.3決定資訊安全管理系統之範圍

組織應決定資訊安全管理系統之邊界及適用性,以建立其範圍。 於決定此範圍時,組織應考量下列事項:
(a) 4.1 中所提及之外部及內部議題。
(b) 4.2 中所提及之要求事項。
(c) 組織執行之活動與其他組織執行的活動間之介面及相依性。 範圍應以文件化資訊提供。

4.4訊安全管理系統

組織應依本標準之要求事項,建立、實作、維持及持續改善資訊安全管理系統, 包括所需過程及其互動。

即為PDCA,需定時安排內部稽核及外部稽核,以落實ISMS制度之執行

分享至
成為作者繼續創作的動力吧!
© 2024 vocus All rights reserved.