ISO/IEC 27001: 2022标准 正文 5 Leadership 领导作用/5.3 Organizational roles, responsibilities and authorities 组织的角色、职责和权限

5.3 Organizational roles, responsibilities and authorities 组织的角色、职责和权限

Top management shall ensure that the responsibilities and authorities for roles relevant to information security are assigned and communicated within the organization.
最高管理层应确保与信息安全相关角色的责任和权限在组织内得到分配和沟通。

Top management shall assign the responsibility and authority for:
最高管理层应分配责任和权限,以:

a) ensuring that the information security management system conforms to the requirements of this document;
a) 确保信息安全管理体系符合本文件的要求;

b) reporting on the performance of the information security management system to top management.
b) 向最高管理者报告信息安全管理体系绩效。

NOTE Top management can also assign responsibilities and authorities for reporting performance of the information security management system within the organization.
注:最高管理层也可为组织内报告信息安全管理体系绩效,分配职责和权限。
ISO/IEC 27001:2013标准 正文 5 领导/5.3 组织的角色,责任和权限

5.3 组织角色、职责和权限

最高层管理者应确保分配并传达了信息安全相关角色的职责和权限。

最高层管理者应分配下列职责和权限,以:
a) 确保信息安全管理体系符合本标准的要求;
b) 将信息安全管理体系的绩效报告给高层管理者。

注:最高层管理者可能还要分配在组织内部报告信息安全管理体系绩效的职责和权限。

标准解析

  1. 本条款(ISO/IEC 27001: 2022)条文与ISO/IEC 27001:2013比较,有轻微的变化,但对实施过程没有影响。一是,本条款第一句话,在新版中增加了定语“within the organization(在组织内)”,更加明确了最高管理层应在组织内确保与信息安全相关角色的责任和权限得到分配和沟通;二是,本条款a)句尾的“and”在新版中被删除,同时a)中的“international Standard(本标准)”,在新版中被改成了“document(本文件)”,这一点,是ISO/IEC 27001: 2022版中做统一修改,文件中所有“international Standard”,都被调整成了“document”。
  2. 最高管理层确保与信息安全相关的角色和责任(信息安全岗位配置以及岗位职责)以及必要的权力得到分配和传达(必要的授权以及公告)。最高管理层不需要指定所有的角色、责任和权力,但是宜充分授权去做这个。最高管理者宜批准ISMS的主要角色、职责任和权力。这个要求的目的是分配责任和权限,以确保ISMS符合ISO / IEC 27001的要求,并确保向最高管理层报告ISMS的绩效。
  3. 与信息安全活动有关的责任和权力宜被分配。 活动包括: a)配合ISMS的建立、实施、维护、绩效报告和改进;b)就信息安全风险评估和处置提供建议;c) 设计信息安全过程和制度 ;d) 制定有关信息安全控制的确定、配置和运行的标准 ;e) 管理信息安全事件 ;f) 审查和审计ISMS 。
  4. 除了有关信息安全的特有角色之外,有关的信息安全责任和权力宜包含在其他角色之中。例如,信息安全责任可以被纳入以下角色: a) 信息所有者 ;b) 过程所有者 ;c) 资产所有者(例如应用程序或基础设施所有者) ;d) 风险所有者 ;e) 信息安全协调职能或人员(这个特定角色通常是ISMS的支持角色) ;f) 项目经理 ;g)部门经理;h)信息使用者。

实施本条款应输出的文档

  1. 信息安全管理组织图(含信息安全管理委员会、信息安全管理部门、各部门信息安全负责人及执行人员等)及职责。
  2. 信息安全管理体系各部门职责一览表(如果有信息安全管理手册,在管理手册中,没有管理手册,可放入信息安全纲领性文件中)。
  3. 信息安全管理核心岗位的任命书(如信息安全管理体系管理者代表任命书)。

本条款审核要点

  1. 审核信息安全管理组织图是否有最高管理者批准。
  2. 信息安全管理体系各部门职责一览表是否有最高管理者批准。
  3. 信息安全管理核心岗位的任命书如信息安全管理体系管理者代表任命书)是否有最高管理者批准。

ISO/IEC 27001:2013标准解读(9)正文 5 领导/5.3 组织的角色,责任和权限