建立強健的 ISMS 目標與範例

在製定資訊安全管理系統 (ISMS) 的目標時，請務必選擇與企業風險、目標和流程相符的目標。這意味著要圍繞與企業業務和風險承受能力最相關的領域來選擇目標。

選擇數量較少但層級較高的目標，然後進行追蹤並分解為具體的行動步驟，往往能為企業帶來更好的成果。目標數量過多則可能導致目標優先順序出現問題。

在確定資訊安全管理系統 (ISMS) 的目標時，請務必牢記這些目標必須符合以下標準：

1. 可衡量的

2. 受監控

3. 已溝通

4. 與風險和業務目標保持一致

5. 有指標、目標和進展證據支持。

這樣就可以將選定的目標分解為可以定義以實現這些目標的具體指標，並確定可衡量的目標 KPI 來實現這些指標。

當然，在高階主管確定目標之後，需要將這些目標傳達給公司的其他部門，以便他們能夠著手實施行動，確保實現這些目標。

以下列舉了一些資訊安全管理系統（ISMS）不同面向的目標範例，從中可以看出這一點：

1. 資訊安全治理與合規

客觀的：完全遵守 ISO 27001 標準以及所有適用的法規和合約要求。

目標：

• 內部或外部審計中均無逾期未採取的糾正措施。
• 每年完成所有計劃的內部審計工作。
• 所有政策審查均在到期日前完成。

關鍵績效指標：

• 已實施審計措施的百分比。
• 按時審核的政策百分比。
• 合規高風險供應商的百分比。

2. 風險降低及風險治療效果

客觀的：降低所有中高風險領域的資訊安全風險。

目標：

• 所有風險應對措施均依規定日期實施。
• 殘餘風險水準降低或維持在可接受的水準。

關鍵績效指標：

• 逾期風險治療的百分比。
• 管理層接受的高剩餘風險數量。
• 每季完成風險登記冊審查。

3. 事件管理績效

客觀的：提高安全事件偵測和回應的效率。

目標：

• 所有事件均在發現後一小時內進行分類處理。
• 重大事件在約定的回應時間內得到解決。
• 所有重大事故的經驗教訓均已總結完畢。

關鍵績效指標：

• 平均檢測時間。
• 平均響應時間。
• 已完成經驗教訓總結的事件百分比。

4. 業務連續性與韌性

客觀的：確保在中斷發生後基本服務的持續運作。

目標：

• 所有關鍵系統均在規定的恢復時間目標 (RTO) 和恢復點目標 (RPO) 內恢復。
• 年度業務連續性測試已完成，結果良好。

關鍵績效指標：

• 測試成功率。
• 實際恢復時間與計畫恢復時間比較。

5. 存取控制和權限管理

客觀的：加強對關鍵系統和資料的存取控制。

目標：

• 每年對所有關鍵系統進行兩次使用者存取權限審查。
• 特權存取審批在授予存取權限之前完成。
• 每次存取權限審核後，孤立帳戶數量為零。

關鍵績效指標：

• 已完成的存取權限審查百分比。
• 違反特權存取流程的次數。

6. 安全意識和降低人為風險

客觀的：提高員工安全意識，減少人為安全事件。

目標：

• 所有員工每年都必須完成強制性培訓。
• 網路釣魚測試失敗率低於設定閾值。
• 經過兩輪意識訓練後，無再犯者。

關鍵績效指標：

• 培訓完成率。
• 網路釣魚模擬指標。
• 人為事故數量。

7. 供應商和第三方安全

客觀的：確保識別、監控和控制供應商風險。

目標：

• 所有關鍵供應商在入駐前均經過評估。
• 對高風險供應商完成年度供應商評估。

關鍵績效指標：

• 已完成安全評估的供應商百分比。
• 供應商相關事件數量。

8. 技術安全控制

客觀的：提高關鍵資訊資產技術控制的有效性。

目標：

• 關鍵系統的修補程式合規率達到或超過 95%。
• 所有被評為高風險或嚴重等級的漏洞均已在規定的服務等級協定 (SLA) 範圍內修復。
• 終端保護覆蓋率達 100%。

關鍵績效指標：

• 補丁合規率。
• 漏洞修復時間。
• 終端安全防護覆蓋率。

9. 資料保護和隱私

客觀的：保護個人和敏感資料免遭未經授權的揭露或濫用。

目標：

• 所有新項目均已完成隱私影響評估。
• 因可預防的控制措施失效而導致的資料外洩為零。

關鍵績效指標：

• PIA完成率。
• 與隱私相關的事件數量。

10. 持續改進

客觀的：逐年展現資訊安全管理體系的可衡量改進。

目標：

• 將資訊安全事件減少一定百分比。
• 前十大風險的平均風險水準降低。
• 關鍵資訊安全管理體系領域的成熟度評級提高。

關鍵績效指標：

• 過去十二個月的事件趨勢。
• 風險趨勢報告。
• 成熟度評估。

總而言之，資訊安全管理系統（ISMS）無需設定大量目標。目標應由可衡量的指標和關鍵績效指標（KPI）支撐，這些指標和KPI應切實可行，從而建立最佳框架，確保目標的實現。最重要的是，在為ISMS或任何其他管理體系定義目標時，應專注於風險最大的領域以及能為企業帶來最大效益的領域。