ISO/IEC 27001:2013标准 正文 4 组织环境/4.1 理解组织及其环境
4.1 理解组织及其环境

组织应确定与其目标相关并影响其实现信息安全管理体系预期结果的能力的外部和内部事项。

注:确定这些问题涉及到建立组织的外部和内部环境,在ISO 31000:2009[5]的5.3节考虑了这一事项。

标准解析

图一 环境分析过程乌龟图
  1. 这个条款,目前是各个体系的通用条款,只是各个体系标准要求的侧重点不同,本标准主要关注组织信息安全方面的内外部因素。所以在实施这个条款时,推荐的做法是,与质量、环境以及职业健康安全等管理体系整合一起实施(参考图一)。
  2. 按照条款要求,组织必须建立识别影响信息安全管理体系的相关内外部因素的流程,并形成文件,文件应明确负责部门,识别时机和频率,以及收集内外部因素过程中的输入材料,即从哪些途径获得组织内外部因素。
  3. 前面说到,4.1这个条款,是各个体系的通用条款,ISO/IEC 27001:2013与ISO 9001:2015在4.1的文字叙述上其实是大同小异的。在企业常用的几个体系中,很多人都认为首次运用高阶结构的标准是ISO 9001:2015,其实ISO/IEC 27001:2013早就走在ISO 9001:2015前面了,而条款4.1 理解组织及其环境,是高阶结构标准出来后,新引入的要求,在以前旧版标准(质量、环境、职业健康安全等管理体系),都没有这个要求。真正引起大家重视,并讨论怎样做,才能满足条款4.1 理解组织及其环境要求,是在ISO 9001:2015发布之后。可是有人会问,ISO/IEC 27001:2013不是在2013年就发布了,为什么会等到2年后,ISO 9001:2015发布之后,才有人讨论如何实施4.1 理解组织及其环境这一条款。要回答这个问题,就要谈到,信息安全管体系目前在中国的一个现状,ISO/IEC 27001:2013发布至今,虽然已经将近7年了,但是大部分咨询机构,大部分认证机构,大部分企业,都还是按照ISO/IEC 27001:2005版标准的要求执行,ISO/IEC 27001:2005对应的质量体系标准的版本是ISO 9001:2008版,不论是ISO/IEC 27001:2005还是ISO 9001:2008都没有4.1 理解组织及其环境这个要求,因此现阶段,看到的信息安全管理体系的资料,基本上都是缺少这个环节的资料,甚至到目前为止,碰到过的几家认证和咨询机构也都是不关注这一块的。另外还有一个原因,ISO 9001:2015还没发布前,没有引起广泛讨论如何实施这一新的并且陌生的要求,要完全吃透这个条款,其实并不容易,我自己后来,也是对照ISO 9001:2015这一条款的实施方法,来帮助理解ISO/IEC 27001:2013中的4.1这个要求的。
  4. 这个条款,有一个重要的注解,提到本条款在实施过程中,可以参考ISO 31000这个标准。前面解析引言部分的时候提到,条款“4.1 理解组织及其环境”以及“6.1.1 总则”中,所涉及风险识别的要求,是针对整个组织而言的,这个属于战略层面,而“6.1.2 信息安全风险评估、6.1.3 信息安全风险处置、8.2 信息安全风险评估以及8.3 信息安全风险处置”所要求的风险评估,偏重于信息系统的风险评估,属于执行层的,参考的标准是ISO/IEC 27005。
  5. 实施本条款需要的常用文件和记录:《环境分析控制程序》、公司环境因素分析表等。