ISO/IEC 27001: 2022标准解读(5)正文 4 组织环境/4.4 信息安全管理体系

ISO/IEC 27001:2013标准 正文 4 组织环境/4.4 信息安全管理体系
4.4 信息安全管理体系

组织应该按照本标准的要求,建立、实现、维护和持续改进信息安全管理体系

标准解读

  1. 本条款规定了建立、实施、维护和持续改进ISMS的核心要求。ISO/IEC 27001:2013的其他部分描述了ISMS的要求要素,本条款要求组织确保满足为了建立、实施、维护和持续改进ISMS的所有要求要素。
  2. 要实现本条款要求,组织应该根据ISO/IEC 27001:2013的其他全部要求,建立信息安全管理体系一阶文件(信息安全管理纲领性文件、SOA适用性声明、信息安全策略集)、二阶文件(程序文件)、三阶文件(操作指南)以及四阶文件(记录表单)。
  3. 在ISO 9001:2015的“4.4”中,有明确要求组织必须确定质量管理体系所需过程及相互关系,也就是必须形成过程乌龟图以及过程关系图。而在ISO/IEC 27001:2013的“4.4”中,虽然没有明确这一要求,但在ISO/IEC 27001:2013引言中,有特别强调,信息安全管理体系是组织的过程和整体结构的一部分并集成在其中,同时在ISO/IEC 27001:2013的“5.1”中也有强调,最高管理者应确保将信息安全管理体系要求整合到组织过程中。因此要满足本条款要求,组织必须将ISO/IEC 27001:2013相应的要求整合到组织原来的过程中,如内部审核过程,管理评审过程,人力资源管理过程、环境分析过程、相关方要求分析过程等,同时无法整合过程可以单独形成过程,如信息安全风险评估过程。
  4. 实施本条款需要的常用文件和记录:信息安全管理纲领性文件、SOA适用性声明、信息安全策略集、程序文件、操作指南、文件清单、记录清单、资产清单、风险评估报告、残余风险报告、风险处置计划等。