ISO/IEC 27001: 2022标准解读(3)正文 4 组织环境/4.2 理解相关方的需求和期望

ISO/IEC 27001:2013标准 正文 4 组织环境/4.2 理解相关方的需求和期望
4.2 理解相关方的需求和期望

组织应确定:
a) 与信息安全管理体系有关的相关方;
b) 这些相关方与信息安全有关的要求

注:相关方的要求可能包括法律法规要求和合同义务。

标准解读

图二 相关方分析过程乌龟图
  1. 这个条款,跟4.1一样,是目前是各个体系的通用条款,只是各个体系标准要求的侧重点不同,本标准主要关注相关方的信息安全方面的需求和期望。所以在实施这个条款时,同样推荐的做法是,与质量、环境以及职业健康安全等管理体系整合一起实施(参考图二)。
  2. 相关方,在ISO/IEC 27001: 2013中目前并没有很明确的规定,一般考虑客户以及政府部门(如本条款备注提到的,法律法规要求和合同义务),但在ISO 9001: 2015等新版体系中,有明确指出相关方包括股东、客户、员工、供应商等。因此,在实施信息安全管理体系考虑相关方的时候,最好的做法是参照ISO 9001: 2015中相关方的要求,比如需要关注员工的个人信息的保密要求,供应商提供的产品和服务的授权以及保密要求。
  3. 在实施ISO/IEC 27001: 2013过程中,要满足4.2的要求,组织必须建立相关方要求分析过程,并形成书面文件。文件必须明确相关方及其要求识别的主导部门,获取途径,获取频率,评审周期等。
  4. 订单评审过程,主要是对客户订单中涉及到信息安全方面的要求进行评审。
  5. ISO/IEC 27001: 2013中的“4.1”和“4.2”条款,和ISO 9001: 2015等新版标准中的“4.1”和“4.2”条款一样,处在标准的开端位置,当然也是这些标准最顶层,最核心的一个部分,新版标准有明确要求,这两个条款的实施必须由组织的最高管理者负责,属于实施ISO/IEC 27001: 2013等新版标准的一个战略决策过程,“4.1”和“4.2”实施过程中的输出材料直接决定了管理方针、目标以及整个管理体系的实施程度。从以往经历来看,现在绝大部分企业都忽略新版体系标准中“4.1”和“4.2”条款的重要性,这两个条款本来也是新版标准首次导入的要求,大家对此都是比较陌生的,所以很多企业在转换ISO 9001: 2015新版的时候,都是按照标准要求补资料的形式来满足认证审核要求,根本没有考虑公司实际情况,以及与体系策划的一致性。ISO 9001: 2015都是如此,更不要说ISO/IEC 27001: 2013,现在国内的情况,前面也提到了,企业/咨询机构/认证机构几乎不关注ISO/IEC 27001: 2013标准正文条款。
  6. 实施本条款需要的常用文件和记录:《相关方要求分析控制程序》、法律法规清单、相关方要求对应表等。