ISO/IEC 27001: 2022标准解读(6)正文 5 领导作用/5.1 领导和承诺

ISO/IEC 27001:2013标准 正文 5 领导/5.1 领导和承诺
5.1 领导和承诺

最高管理者应通过下列方式展示其关于信息安全管理体系的领导力和承诺:
a) 确保建立信息安全方针和信息安全目标,并与组织的战略方向保持一致;
b) 确保将信息安全管理体系要求整合到组织的业务过程中;
c) 确保信息安全管理体系所需资源可用;
d) 传达信息安全管理有效实施、符合信息安全管理体系要求的重要性;
e) 确保信息安全管理体系实现其预期结果;
f) 指挥并支持人员为信息安全管理体系的有效实施作出贡献;
g) 促进持续改进;
h) 支持其他相关管理角色在其职责范围内展示他们的领导力。

标准解读

  1. 领导和承诺对于有效的ISMS至关重要。在ISO 9001:2015的“5.1”中有明确指出,最高管理者应对质量管理体系的有效性承担责任,这一要求同样适用于信息安全管理体系。
  2. 最高管理者(见ISO/IEC 27000)被定义为指导和控制ISMS最高层组织的个人或群体,即最高管理层对ISMS负总体责任,这意味着最高管理者指导ISMS与组织中的其他领域类似,比如分配和监控预算的方式,最高管理者可以代表组织的权力,为实际执行有关信息安全和ISMS的活动提供资源,但仍然保留总体责任。例如,实施和运营ISMS的组织可以是更大组织内的业务单位。在这种情况下,最高管理者是指导和控制该业务部门的个人或群体。 最高管理者也参与管理评审(见9.3)和促进持续改进(见10.2) 。
  3. 最高管理者应主导组织的信息安全方针(见5.2)以及信息安全目标(见6.2)的确立,并要确保以上两者必须与组织战略方向一致。曾经就有一个面试官问过我一个这样的问题,制定公司目标的输入材料可以哪些方面去考虑?当时我的回答是三个方面:1)公司的战略规划,2)客户及相关方要求,3)法规法规及其他要求。面试官问之所以这个问题,是他们公司每次制定公司目标时,都无从下手,当时她听了我的答案后,显然很满意,这是因为我的回答完全跟ISO标准要求的是一致的,虽然她可能对ISO体系不是太懂,但还是认为从这几方面去考虑很有道理的。
  4. 最高管理者应确保将信息安全管理体系要求整合到组织过程中,这一点至关重要,也是必须的,因为唯有如此,才能避免:1)信息安全管理体系流于形式,无法落地,2)信息安全管理体系成为负担,给正常业务造成严重的负面作用。信息安全控制措施与业务流程结合的途径有:1)校准,2)整合,3)嵌入。整合的主要目的是降低对主营业务流程干扰,以更节约的方式促进信息安全制度的落地。更多更详细关于整合的介绍可以参考:赵秀堃,谢宗晓. 信息安全与组织业务流程结合探讨[J]. 中国标准导报,2016,07:36-38。另外,具有指定的流程责任人的组织可以将实施适用的要求的职责授权给这些个人或群体。克服组织改变过程和控制的阻力也可能需要最高管理层的支持。
  5. 最高管理者宜确保有效的ISMS的资源的可用性(见7.1)。资源是ISMS的建立、及其实施、维护和改进,以及实施信息安全控制所需要的。ISMS所需的资源包括:1)财务资源,2)人力资源,3)设施,4)技术基础设施。所需资源取决于组织的背景,如规模、复杂性以及内部和外部的要求。管理评审宜提供信息指明资源对组织是否是充足的。
  6. 最高管理者宜传达组织的信息安全管理需要以及符合ISMS要求的需要。这可以通过给出实际的例子来说明在组织背景下的实际需要是什么,以及通过传达信息安全要求来完成。
  7. 最高管理者宜通过支持所有信息安全管理过程的实施,特别是通过要求和审查ISMS的状态和有效性的报告来确保ISMS实现其预期结果(参见5.3b))。 这些报告可以从测量(见6.2 b)和9.1 a))、管理评审和审计报告中得出。最高层管理层可能还要为参与ISMS的关键人员设定绩效目标。
  8. 最高管理者宜指导和支持组织内直接参与信息安全和ISMS的人员。如果不这样做,可能会对ISMS的有效性有负面影响。最高管理者的反馈可能包括计划的活动如何与组织的战略需求相一致,也可以为ISMS中的不同活动划分优先顺序。
  9. 最高管理者宜在管理评审期间评估资源需求,并为持续改进和监视计划活动的有效性设定目标。
  10. 最高管理者宜支持已被分配涉及信息安全管理角色和责任的人员,以便他们有动力并能够指导和支持他们领域内的信息安全活动。
  11. 实施本条款需要的常用文件和记录:公司战略/经营规划,信息安全目标/方针,会议记录/内部通告,资源配置记录,信息安全岗位清单,信息安全管理激励措施,持续改进记录,管理评审资料,授权文件等。