風險、機會、目標和計劃：實施 ISO 27001 第 6 條的技巧

第 6.1 條 - 應對風險和機會的措施

花時間理解並落實第 6.1 條至關重要。這需要您與團隊進行深思熟慮和協作，以建立一套適合自身業務的系統。一個很好的起點是學習 ISO 31000，這是一套風險管理指南。該標準提供了有效風險管理所需的原則、架構和流程。

ISO 31000 中概述的風險管理流程包括：定義範圍、內容和風險標準；確保員工參與；進行風險評估（識別、分析、評估）；確定風險應對措施；以及持續監控和審查。如果您已擁有風險管理系統（例如 ISO 9001），則可以將其整合到您的資訊安全管理系統 (ISMS) 中，以提高效率。

利用這些基本原則，創建一套針對資訊安全的風險管理流程。根據風險發生的可能性和後果，制定風險評估標準，並對風險進行優先排序。 ISO 27001 附錄 A 提供了一系列控制措施（2022 版包含 93 項），簡化了風險因應措施的確定。透過將已識別的風險與控制措施關聯起來，並建立資訊安全風險登記冊，您可以建立一份基礎性文件，其中概括了 ISO 27001 的多項條款。

第 6.2 條 - 資訊安全目標及實現目標的計劃

制定資訊安全目標是一項精細的工作。雖然大多數公司在銷售、行銷和營運方面都有目標，但制定資訊安全目標則需要不同程度的考量。諸如實現零資訊安全事件之類的常見目標需要仔細評估，因為其中可能存在一些潛在陷阱，例如事件漏報。

ISO 27001建議根據附錄A中的風險評估和處理結果來設定目標。運用SMART原則（智慧、可衡量、可實現、相關且有時限）能夠確保目標明確且可實現。目標的數量必須適當平衡；通常情況下，當企業設定3到5個目標，並專注於員工參與、ISO 27001認證和GDPR合規等領域時，往往能達到最佳效果。

向員工清晰傳達目標至關重要。召開員工會議討論每個目標，概述計劃和時間表，明確角色，確定職責，並提供印刷資料供參考，有助於加深理解。定期監控和評估可確保目標始終朝著正確的方向發展，並可根據需要進行調整。

第 6.3 條 – 變更管理

更新後的 ISO 27001 標準新增了一項條款，明確規定對影響資訊安全管理系統 (ISMS) 的變更進行管理。這通常透過實施正式的變更管理系統來實現，該系統會對變更進行記錄，並在實施前進行討論和規劃。

良好的變革管理流程應考慮所需投入、受影響的業務部門以及這些部門的利害關係人。更重要的是，還應考慮任何潛在的意外後果。

當進行更改時，應進行記錄，以便追蹤變更並確定任何潛在問題的原因。

第 6 條的要點：

1. 將機會融入你的改進過程中。
2. 制定一套易於使用的風險評估標準，用於列出風險並確定風險的優先順序。
3. 認真考慮並明確目標。
4. 監測、評估結果，並重新評估風險和機遇，以持續改善。
5. 重視溝通，確保每個人都清楚了解狀況

• 查看本系列的前一篇： 第五條：重點關注領導力、承諾、責任和資訊安全政策。
• 查看本系列下一篇：資源、能力、意識、溝通：ISO 27001 指南：第 7.1 至 7.4 條