4 组织环境/4.1 理解组织及其环境

4.1 理解组织及其环境

组织应确定与其意图相关的,且影响其实现信息安全管理体系预期结果能力的外部和内部事项。

:对这些事项的确定,参见 ISO 31000:2018,5.4.1中建立外部和内部环境的内容。

【新版变化】

新版4.1未进行变更,只是更新了注解中ISO31000的版本,将ISO 31000: 2009, 5.3换成了ISO31000: 2018, 5.4.1。

【标准理解】

(1)与信息安全管理体系相关的组织意图,主要有三个,即组织的战略目标,组织的业务目标和组织信息安全管理体系的预期结果,这也是实施4.1需要输入的主要资料;

(2)组织应根据输入的资料,识别出影响组织实现信息安全管理体系预期结果能力的内部和外部事项(或因素),输出内外部因素清单;

(3)4.1中“事项”,部分地方也翻译成“因素”,如外部因素,国际和国家法律法规,技术以及市场等外部因素,又如内部因素,企业文化,公司治理,财务状况,公司战略,人员素质等内部因素;

(4)组织应定期更新和评审内外部因素清单;

(5)组织应建立环境分析管理过程,并形成书面的文件,以明确内外部因素识别的职责,时机,频率及绩效等。

备注1:本系列所有ISO/IEC 27001: 2022条款讲解均可以通过以下网址查看相对应讲解的视频:https://video.27001.cn/course-3.html

【行动要点】

(1)建立组织环境分析管理过程(如图一);

(2)形成书面的《环境分析管理流程》或《环境分析管理程序》;

(3)按照《环境分析管理流程》,进行内外部因素识别和分析工作;

(4)输出书面的《内外部因素清单》(如表4),并进行评审。

备注2:本系列讲解对应的过程乌龟图,以及输出的表单记录(示例),将在即将出版的书籍《ISO/IEC 27001: 2022标准详解与实施》中呈现。

备注3:本系列讲解的配套文件(包含一阶文件,二阶文件,三阶文件,以及四阶文件),所有文件均是独家全新编写的,企业付费(暂不接受个人付费)可以获取,请见《独家服务:ISO/IEC 27001: 2022全新全套文件提供和使用指导》

【输出文档】

(1)《环境分析管理流程》或《环境分析管理程序》;

(2)《内外部因素清单》;

(3)《内外部因素清单》评审记录。

【审核要点】

(1)是否建立环境分析管理过程,并形成书面的《环境分析管理流程》或《环境分析管理程序》;

(2)《环境分析管理流程》是否明确内外因素识别和分析的职责和频率;

(3)能否提供《内外部因素清单》;

(4)《内外部因素清单》是否有评审,并提供评审记录以验证。