ISO 27001:2013本文簡介
術語與定義參照 ISO/IEC 27000,目的維持一致性
第四章
瞭解組織全景
瞭解利害相關團體期望與需求
決定資訊安全範圍
資訊安全管理系統
注意事項說明: 組織全景與整體營運方向有著密切不可分的關係依存,所以須考量影響全景可能的資訊安全議題,包含組織內部與組織外部,其中也包含利害關係者對組織資訊安全的要求。
第五章
領導力與承諾
政策
組織角色、責任、職權
第六章
行動滿足風險與機會
資訊安全目標與完成
注意事項與說明 風險的考量應注意營運上的契機(機會)可能造成風險,以及須考量與組織全景相關的內外部議題風險。 因應風險與機會所採取的行動須參考ISO 31000:2009風險管理的標準。
規劃資訊安全目標須考量: 誰做、須什麼資源、誰負責、結果如何評估 須與資安政策一致
第七章資源
能力
認知
溝通
文件化資訊
注意事項與說明 溝通應明確了解與資訊安全有關的內外部的對像(who)、時機(when)、內容(what)。
第八章作業規劃與控制
資安風險評鑑
資安風險處理
注意事項與說明: 委外的過程須被建立與控管。
第九章績效監控、分析、與評估
內部稽核
管理階層審查
注意事項與說明: 績效的監控、評估須注意何時(when)進行、誰(Who)進行、量測的方法與標的(what)。
第十章
執行矯正行動改善未落實之處
持續改善