2. 依據 ISO/ IEC 27001:2022 之中,關於溝通與傳達的內容,組織應決定相關於資訊安全管理系統之內部及外部溝通或傳達的需要,「不」包括下列何項?
(A) 溝通或傳達事項
(B) 溝通或傳達對象
(C) 溝通或傳達地點
(D) 溝通或傳達方式

答案:登入後查看
統計: A(3), B(1), C(44), D(8), E(0) #3536988

詳解 (共 2 筆)

#7056944

69103f9783407.jpg

正確答案是 (C) 溝通或傳達地點

?依據條文:

根據 ISO/IEC 27001:2022 第7.4條 Communication(溝通)
組織在規劃資訊安全管理系統(ISMS)的溝通時,應決定下列事項:

  1. 關於什麼事項要溝通(what to communicate)

  2. 何時溝通(when to communicate)

  3. 與誰溝通(who to communicate with)——包含內部與外部對象

  4. 以何種方式溝通(how to communicate)

?題目解析:

選項對應如下:

選項 對應條文 是否包含
(A) 溝通或傳達事項 what ✅ 有包含
(B) 溝通或傳達對象 who ✅ 有包含
(C) 溝通或傳達地點 where 未提及
(D) 溝通或傳達方式 how ✅ 有包含

正確答案:C 溝通或傳達地點

? ISO 27001 裡的「溝通」到底在講什麼?

簡單說:資訊安全不是只有文件寫好,而是要「讓對的人知道對的事情」。
所以組織必須決定哪些資訊安全相關事項,需要對內/對外溝通。

 

? 那 ISO 27001 要求溝通哪些東西?

溝通不等於聊天,而是指:

把資訊安全管理系統(ISMS)需要讓其他人知道的內容,透過正式管道傳達給需要的人。

以下是實務常見+符合標準的範圍:

 

✔️ 1. 資訊安全政策(必溝通)

例如:

  • 公司資訊安全政策

  • 密碼政策

  • 資料分級政策
    這些都要讓「所有員工知道」。

 

✔️ 2. 資安角色與責任(誰要做什麼)

例如:

  • 誰是 CISO

  • 誰是資安事件通報窗口

  • 誰負責備份

  • 資產管理員與資產使用者責任

 

✔️ 3. 稽核與管理審查結果(管理階層)

例如:

  • 內稽的發現

  • 重大風險

  • 改善需求

 

✔️ 4. 資安事件與通報流程(員工必須知道)

如:

  • 遭遇釣魚信怎麼處理

  • 病毒感染要找誰

  • 通報期限(例如 24hr)

 

✔️ 5. 控制措施的變更與要求(IT、使用者)

例如:

  • 新的 MFA(多因素驗證)啟用

  • USB 禁用政策

  • VPN 流程變更

 

✔️ 6. 對外的溝通(外部利害關係人)

例如:

  • 客戶要求的資安證明

  • 發生資安事件需要通報主管機關

  • 對供應商宣布最新的資安要求

 

?【1】資訊安全政策有無正式溝通

常見可提供證據:

  • 政策公告 email、Teams、Line@ 截圖

  • 公司內網(Intranet)政策發布頁面

  • 新進教育訓練簡報/簽到表/測驗通過紀錄

  • 員工簽署資訊安全政策同意書(紙本或電子)

稽核員想確認:
「政策不是寫好放著,而是有讓員工知道。」

?【2】資訊安全角色與責任是否有溝通

證據種類:

  • R&R(Roles & Responsibilities)文件已發布紀錄

  • 組織圖 + 資安職責 email 寄送紀錄

  • IT、CSIRT、備份管理等角色的工作說明書(JD)

稽核員想看:
「你說誰負責資安,那他知道嗎?」

?【3】資安事件通報流程是否有溝通給員工

證據:

  • 釣魚郵件演練公告

  • 資安事件 SOP 公告 + email

  • Incident handling 教育訓練

稽核員會問:
「一般使用者知不知道如果看到可疑 email 要通報誰?」

?【4】對供應商的資安要求有無溝通

證據:

  • 寄給供應商的資訊安全要求信件

  • 合約中的資安條款(有提供即可)

  • 供應商簡報會議紀錄(Kickoff meeting)

稽核員會查:
「不是只有內部要遵守,外部也要被你告知。」

?【5】管理層溝通(管理審查、風險管理)

證據:

  • 管理審查會議記錄(Meeting Minutes)

  • 雙週/月例資安簡報

  • 風險接受、風險處理方案 email 批示

稽核員問題會很像:
「管理階層真的有收到你們的報告嗎?」

?【6】控制措施變更有無溝通(MFA、密碼政策、USB 禁用…)

證據:

  • 新管控措施發布公告(email、Teams、Slack)

  • 變更管理記錄(Change Request)

  • 對使用者的操作教學簡報

稽核員想知道:
「你們改政策後,有沒有通知大家?」

?【7】教育訓練本身就是一種「溝通」

證據:

  • 資安教育訓練課程表

  • 課程簡報

  • 測驗紀錄

  • 參與名單

稽核員會問:
「你怎麼確保員工知道資安要求?」

 

? 1. 條文 7.4 Communication 本身只規範「溝通機制」

7.4 要求你決定:

  • What 什麼要溝通

  • When 何時溝通

  • With whom 和誰溝通(內部/外部)

  • How 如何溝通(方式)

? 但它沒有告訴你具體內容,因為內容由其他條文來要求。

? 2. 那「要溝通的內容」到底藏在哪裡?

答案是:
在每個要求你要“向誰展示/通知/確保知悉”的條文裡面。

下面列出 ISO 27001:2022 必須溝通的來源條文(最常被稽核員查的):

? (A) 5.2 資訊安全政策(必須溝通)

標準要求政策必須 被溝通 給組織內部(必要時外部)。

? 所以政策是「必溝」內容。

? (B) 5.3 組織角色、責任與權限(必須溝通)

條文要求:

  • 必須讓相關人員知道自己負責什麼。

? 所以職責與責任必須被溝通。

? (C) 6.1.3 風險處理與控制措施(部分必須溝通)

你採用的控制措施,誰要執行?誰受影響?

? 政策變更、密碼規範、USB 限制、MFA 上線都屬於「溝通事項」。

? (D) 7.2 能力、7.3 意識(透過教育訓練進行溝通)

意識與能力的建立,本質上就是「溝通」。

? 釣魚演練公告、資安訓練、SOP 教學都屬於溝通。

? (E) 8.1 作業規劃與控制(程序要讓執行者知道)

程序(SOP)、流程改版,必須通知執行者。

? 作業者必須知道怎麼做 → 要溝通。

? (F) 9.1 監督與量測(需要回報結果給管理層)

監控結果、指標、資安 KPI 會被視為需溝通給相關利害關係人。

? (G) 9.3 管理審查(稽核要看溝通證據)

管理審查本身就是:

  • 資安向管理層溝通

  • 管理層回饋決策

? (H) 附錄 A(控制措施)中的許多項目均需溝通

例如:

  • A.5.12 類別與標籤(資料分級要告知使用者)

  • A.7.4 物理安全程序要告知員工

  • A.8.9 備份程序要告知相關人員

  • A.5.24 資安事件通報(要告知員工如何通報)

  • A.5.21 變更管理(變更影響者要被通知)

? 控制措施本身會衍生大量必須溝通的主題。

1
0
#6622648
  ISO/IEC 27001:202...
(共 1838 字,隱藏中)
前往觀看
0
0