ISO/IEC 27001:2013标准解读（3）正文 4 组织环境/4.1 理解组织及其环境

ISO/IEC 27001: 2022标准解读（2）——正文 4 组织环境/4.1 理解组织及其环境

标准解析

1. 这个条款，目前是各个体系的通用条款，只是各个体系标准要求的侧重点不同，本标准主要关注组织信息安全方面的内外部因素。所以在实施这个条款时，推荐的做法是，与质量、环境以及职业健康安全等管理体系整合一起实施（参考图一）。
2. 按照条款要求，组织必须建立识别影响信息安全管理体系的相关内外部因素的流程，并形成文件，文件应明确负责部门，识别时机和频率，以及收集内外部因素过程中的输入材料，即从哪些途径获得组织内外部因素。
3. 前面说到，4.1这个条款，是各个体系的通用条款，ISO/IEC 27001:2013与ISO 9001:2015在4.1的文字叙述上其实是大同小异的。在企业常用的几个体系中，很多人都认为首次运用高阶结构的标准是ISO 9001:2015，其实ISO/IEC 27001:2013早就走在ISO 9001:2015前面了，而条款4.1 理解组织及其环境，是高阶结构标准出来后，新引入的要求，在以前旧版标准（质量、环境、职业健康安全等管理体系），都没有这个要求。真正引起大家重视，并讨论怎样做，才能满足条款4.1 理解组织及其环境要求，是在ISO 9001:2015发布之后。可是有人会问，ISO/IEC 27001:2013不是在2013年就发布了，为什么会等到2年后，ISO 9001:2015发布之后，才有人讨论如何实施4.1 理解组织及其环境这一条款。要回答这个问题，就要谈到，信息安全管体系目前在中国的一个现状，ISO/IEC 27001:2013发布至今，虽然已经将近7年了，但是大部分咨询机构，大部分认证机构，大部分企业，都还是按照ISO/IEC 27001:2005版标准的要求执行，ISO/IEC 27001:2005对应的质量体系标准的版本是ISO 9001：2008版，不论是ISO/IEC 27001:2005还是ISO 9001:2008都没有4.1 理解组织及其环境这个要求，因此现阶段，看到的信息安全管理体系的资料，基本上都是缺少这个环节的资料，甚至到目前为止，碰到过的几家认证和咨询机构也都是不关注这一块的。另外还有一个原因，ISO 9001:2015还没发布前，没有引起广泛讨论如何实施这一新的并且陌生的要求，要完全吃透这个条款，其实并不容易，我自己后来，也是对照ISO 9001:2015这一条款的实施方法，来帮助理解ISO/IEC 27001:2013中的4.1这个要求的。
4. 这个条款，有一个重要的注解，提到本条款在实施过程中，可以参考ISO 31000这个标准。前面解析引言部分的时候提到，条款“4.1 理解组织及其环境”以及“6.1.1 总则”中，所涉及风险识别的要求，是针对整个组织而言的，这个属于战略层面，而“6.1.2 信息安全风险评估、6.1.3 信息安全风险处置、8.2 信息安全风险评估以及8.3 信息安全风险处置”所要求的风险评估，偏重于信息系统的风险评估，属于执行层的，参考的标准是ISO/IEC 27005。
5. 实施本条款需要的常用文件和记录：《环境分析控制程序》、公司环境因素分析表等。