ISO 27001 资讯安全管理系统 【解析】(三十)

九、资讯安全目标
条文5.2是订定资讯安全政策，要求组织在政策中必须包含资讯安全目标或订定目标的框架，条文6.2则详细叙述目标的架构及要求，不论原先在政策中如何阐述目标，其相关的要求还是要符合条文6.2的要求，所以必须在适当的阶层或对应的业务功能中设定目标，而第四章全景分析的资讯非常适合来当作目标的基础资讯，例如：利害关係者(客户)的期待是他的个人资料不要外洩，从政策上来说，必须订定资料安全保护及存取控制相对应的政策，客户资料外洩事件件数可以当作一个目标来设定，确认有没有达到客户的期待。如果5.2已经叙述了政策必须包含目标，为什么不在5.2中把目标订定的需求一併叙述？如此安排，显示ISO 27001标準还有其他的考量，因为目标可以当作风险準则设定的一个基準，前面有提到需要设定风险评估準则、冲击準则以及接受準则，这些準则都可以参考所设的目标，才能正确的评估风险并决定是否接受风险。再拿前面的个人资料外洩事件的目标来看，个人资料保护法规範外洩个人资料赔偿上限每人每一事件二万元，因此冲击準则就可以用这些资讯来订定，组织自行评估能承受多少的罚款，如果是每年一百万，则组织只能外洩五十件个人资料，超过就会变成无法承担的风险，且必须有相对应的控制措施去降低风险，所以订定的风险处理计画也跟目标是有关连性的，必须将资讯安全目标嵌入风险评鉴及风险处理中，这些目标才会符合组织的需要，而不是订定一些虚无缥缈的目标，看起来很好，却完全无法达到持续改善的作用。
订定资讯安全目标时需要考量适当时可以量测，所以在主管机关颁布的资通安全维护计画内就区分两种类型：量化型(例如：某系统可用率)及质化型(例如：提升人员资讯安全意识)的目标，在资讯安全目标的陈述上可以参考下列做法：
•数值以及它们的限制，例如：资讯安全事件数以及上限。
•资讯安全管理系统执行的量测，例如：内部稽核及管理审查的次数。
•资讯安全管理系统有效性的量测(条文9.1)，例如：不符合事项改善的期限及百分比。
•ISO 27001标準的符合性，例如：定期对资讯安全政策进行审查。
•资讯安全管理系统内程序的符合性。
•计划与行动的完成，例如：风险处理计画完成的时限与完成度。
•风险準则接受度，例如：资讯安全事件造成损失。
设定完目标后，组织应规划如何去完成目标，此处因为条文要求组织应保存资讯安全目标的文件化资讯，所以有关目标的资讯及计画应该具备的基本资讯包含如何完成目标、达成目标所需要的资源、目标负责人、目标计画时程、如何检讨目标是否达成等相关事项，目标设定后应持续检讨是否有修正的必要，并定期与利害关係者进行沟通目标是否适切，如有修正也应适时沟通及呈报权责人员。