ISO 27001 的基礎：實施第 4 條以確保資訊安全成功

根據我們的經驗，我們曾看到公司管理層花費一整天的時間來討論和理解第 4.1 條和第 4.2 條，這非常適合在異地「休息」期間進行，以最大限度地減少干擾。

標準的第 4.1 至 4.4 條構成一個整體，彼此相互關聯。從零開始實施資訊安全管理系統 (ISMS) 時，我們發現最好先從第 4.2 條入手，然後再進行第 4.1 條的學習。之後，再進行第 4.4 條的學習，最後完成第 4.3 條的學習。有鑑於此，我們將依此順序逐條講解。

第4.2條－了解相關方的需求與期望

首先進行腦力激盪，確定並列出利害關係人，包括對您的營運產生影響或受其影響的實體。這包括客戶、員工、合作夥伴、供應商、政府機構和公眾。

深入分析各方如何影響或可能對您的資訊安全管理系統 (ISMS) 產生影響。最後，有系統地記錄他們的需求和期望，例如可以使用簡單的電子表格。

第 4.1 條－了解組織及其背景

基於已確定的利害關係人，在第 4.1 條中探討組織的背景。這裡需要定義的是願景、使命和價值。這些內容可以進一步擴展，涵蓋…

• 你的核心承諾
• 您的獨特提議
• 您有哪些客戶洞察？
• 您的目標市場

進行SWOT分析，全面掌握影響企業經營環境的內部和外部因素，包括正面和負面因素。這項分析是對您…的回顧。優勢以及你的弱點以及機會和威脅業務是理解貴組織如何運作和指導資訊安全管理系統 (ISMS) 的基礎。

此時，您應該清楚地了解您的營運方式的背景，以及這種背景如何影響您的資訊安全管理系統。

4.4 - 資訊安全管理系統

在解決了第 4.1 和 4.2 條的問題之後，請將重點轉移到確定資訊安全管理系統 (ISMS) 的結構和管理上，即第 4.4 條。鼓勵將資訊安全管理系統與現有的管理系統（例如品質管理系統 (QMS)）進行整合，以形成整合管理系統 (IMS)。這種整合有助於將資訊安全融入現有的流程和結構中，而 ISO 27001 則借鑒其他 ISO 標準所採用的協調結構也為此提供了便利。

即使您目前尚未擁有經認證的管理體系，除了將資訊安全融入現有流程之外，您可能還需要考慮並實施一些新的結構或程序，以符合 ISO 27001 標準中的某些要求。本系列部落格文章將提供相關技巧和建議。

4.3 - 確定資訊安全管理系統的範圍

現在，您已掌握了第 4.1、4.2 和 4.4 條的相關文檔，可以繼續在第 4.3 條中定義資訊安全管理系統 (ISMS) 的範圍。請考慮您的整個組織，並利用標準附件 A 中的適用性聲明和控制措施來確定哪些內容屬於 ISMS 的範疇，哪些內容不屬於 ISMS 的範疇。這一步驟有助於明確 ISMS 的邊界和包含內容。

重點

1. 確定相關方的需求和期望（4.2）。
2. 使您的目標、願景和使命與相關方保持一致（4.1）。
3. 進行 SWOT 分析，以獲得全面的態勢感知（4.1）。
4. 概述並記錄您的 ISMS 結構（4.4）。
5. 確定資訊安全管理系統的範圍，並考慮整個組織（4.3）。

• 查看本系列的下一篇：第五條：重點關注領導力、承諾、責任和資訊安全政策