ISO/IEC 27001: 2022标准解读(8)正文 5 领导作用/5.3 组织的角色、职责和权限

ISO/IEC 27001:2013标准 正文 5 领导/5.3 组织的角色,责任和权限
5.3 组织角色、职责和权限

最高层管理者应确保分配并传达了信息安全相关角色的职责和权限。

最高层管理者应分配下列职责和权限,以:
a) 确保信息安全管理体系符合本标准的要求;
b) 将信息安全管理体系的绩效报告给高层管理者。

注:最高层管理者可能还要分配在组织内部报告信息安全管理体系绩效的职责和权限。

标准解读

  1. 最高管理层确保与信息安全相关的角色和责任(信息安全岗位配置以及岗位职责)以及必要的权力得到分配和传达(必要的授权以及公告)。最高管理层不需要指定所有的角色、责任和权力,但是宜充分授权去做这个。最高管理者宜批准ISMS的主要角色、职责任和权力。这个要求的目的是分配责任和权限,以确保ISMS符合ISO / IEC 27001的要求,并确保向最高管理层报告ISMS的绩效。
  2. 与信息安全活动有关的责任和权力宜被分配。 活动包括: a)配合ISMS的建立、实施、维护、绩效报告和改进;b)就信息安全风险评估和处置提供建议;c) 设计信息安全过程和制度 ;d) 制定有关信息安全控制的确定、配置和运行的标准 ;e) 管理信息安全事件 ;f) 审查和审计ISMS 。
  3. 除了有关信息安全的特有角色之外,有关的信息安全责任和权力宜包含在其他角色之中。例如,信息安全责任可以被纳入以下角色: a) 信息所有者 ;b) 过程所有者 ;c) 资产所有者(例如应用程序或基础设施所有者) ;d) 风险所有者 ;e) 信息安全协调职能或人员(这个特定角色通常是ISMS的支持角色) ;f) 项目经理 ;g)部门经理;h)信息使用者。
  4. 实施本条款需要的常用文件和记录:信息安全岗位说明书,信息安全主要岗位任命以及授权记录等。