ISO/IEC 27001: 2022标准 正文 5 Leadership 领导作用/5.2 Policy 方针

5.2 Policy 方针

Top management shall establish an information security policy that:
最高管理层应建立信息安全方针,该方针应:

a) is appropriate to the purpose of the organization;
a) 与组织意图相适宜;

b) includes information security objectives (see 6.2) or provides the framework for setting information security objectives;
b) 包括信息安全目标(见6.2)或为设定信息安全目标提供框架;

c) includes a commitment to satisfy applicable requirements related to information security;
c) 包括对满足适用的信息安全相关要求的承诺;

d) includes a commitment to continual improvement of the information security management system.
d) 包括对持续改进信息安全管理体系的承诺。

The information security policy shall:
信息安全方针应:

e) be available as documented information;
e) 形成文件化信息并可用;

f) be communicated within the organization;
f) 在组织内得到沟通;

g) be available to interested parties, as appropriate.
g) 适当时,对相关方可用。
ISO/IEC 27001:2013标准 正文 5 领导/5.2 方针

5.2 方针

最高层管理者应建立信息安全方针,以:
a) 适于组织的目标;
b) 包含信息安全目标(见6.2)或设置信息安全目标提供框架;
c) 包含满足适用的信息安全相关要求的承诺;
d) 包含信息安全管理体系持续改进的承诺。

信息安全方针应:
e) 文件化并保持可用性;
f) 在组织内部进行传达;
g) 适当时,对相关方可用。

标准解析

  1. 本条款(ISO/IEC 27001: 2022)条文要素与ISO/IEC 27001:2013实质上是没有变化的。新版条文仅仅是把条款c)句尾的“and”删除了,从中文版来看,其实看不出变化的。
  2. 本条款是常见体系标准(ISO 9001,ISO 14001以及ISO 45001等)通用条款,因此可以参照这些体系的实施方式进行实施。本条款可以与后面“6.2 信息安全目标及其实现规划”整合成“方针与目标管理过程”,此过程推荐与其他常见管理体系(ISO 9001,ISO 14001以及ISO 45001等)整合实施。
  3. 最高管理者必须根据组织宗旨,组织战略,组织环境(4.1输出资料),相关方以及法律法规要求等(4.2输出资料)制定相适宜的信息安全方针,并批准。
  4. 信息安全方针宜反映组织的业务状况、文化、问题以及与信息安全有关的关注点。信息安全方针的程度宜符合组织的宗旨和文化,并宜在便于阅读和完整性之间寻求一个平衡点。重要的是,方针的用户能够认同方针的战略方向。
  5. 信息安全方针宜括来自最高管理层的对其满足信息安全相关的要求的承诺的明确声明。
  6. 信息安全方针宜包括最高管理层支持所有活动的持续改进的明确声明。在方针中阐明这一原则是很重要的,以便ISMS范围内的人员都意识到这一点。
  7. 信息安全方针可能包括组织的信息安全目标,或者描述如何设定信息安全目标的框架(即,谁为ISMS设置它们,以及它们应该如何在ISMS范围内被部署)。例如,在非常大的组织中,高层次的目标应该由整个组织的最高管理层设定,然后根据信息安全方针中建立的框架,目标宜在一定程度上详述,以给所有相关方以方向感。
  8. 信息安全方针宜传达给ISMS范围内的所有人。因此,它的格式和语言宜是适当的,以便所有的接受者都能容易理解(如培训,通告,会议宣导、布告栏、横幅等)。
  9. 最高管理层宜决定应向哪些相关方传达方针。信息安全方针可以用将其与组织外部的相关方联系起来的方式来写。这些外部相关方的例子有:客户、供应商、承包商、分包商和监管机构。如果信息安全方针向外部相关方提供,则不宜包括机密信息。
  10. 信息安全方针可以是单独的独立方针,也可以包括在一个涵盖组织内的多个管理体系主题的全面的方针中,(例如质量、环境和信息安全)。
  11. 信息安全方针宜作为文件化信息提供。ISO/IEC 27001中的要求并不意味着这些文件化信息有任何特定的形式,因此由组织决定哪种形式是最合适的。如果组织有一个方针的标准模板,信息安全方针的形式宜使用此模板。
  12. 信息安全方针应定期进行评审。

实施本条款应输出的文档

  1. 《方针与目标管理程序》(可选)。
  2. 书面的信息安全方针,以及信息安全方针评审记录。
  3. 信息安全方针培训与宣导证据(如培训记录、宣导资料、看板、会议记录等)。

本条款审核要点

  1. 检查信息安全方针是否有最高管理者批准。
  2. 随机抽查员工是否知道信息安全方针。
  3. 查看相关信息安全方针宣导和培训资料。

ISO/IEC 27001:2013标准解读(8)正文 5 领导/5.2 方针