| 4 组织环境/4.2 理解相关方的需求和期望 |
4.2 理解相关方的需求和期望 组织应确定: a) 信息安全管理体系相关方; b) 这些相关方的相关要求; c) 哪些要求可以通过信息安全管理体系得到解决。 注:相关方的要求可包括法律、法规要求和合同义务。 |
【新版变化】
新版4.2有轻微变化,但实施要求几乎未变。新版4.2中的b)和c)是由旧版4.2中“b) 这些相关方与信息安全有关的要求”拆解而成的。
【标准理解】
(1)相关方可以是政府,社区,员工,顾客,供应商等。而与信息安全管理体系有关的主要相关方有政府,顾客,员工和供应商等。通常会提出相关方要求的相关方主要是政府(如与信息安全有关的法律法规),顾客(如信息安全有关的协议);
(2)本条款要求组织必须识别出与信息安全有关的适用法律法规,以及顾客相关的信息安全要求。对于信息安全管理体系,主要考虑的相关方要求是政府和顾客,组织可以根据自身的情形考虑其他相关方的要求;
(3)组织应对信息安全适用法律法规清单和顾客信息安全要求清单进行监视和评审;
(4)要注意的是,本条款也仅仅是要求输出信息安全适用法律法规清单和顾客信息安全要求清单,而对于清单中的要求相关风险和机遇的分析,以及应对这些风险和机遇的措施的制定,则是6.1.1的要求。这一点,很多人也是没有理清楚。
备注1:本系列所有ISO/IEC 27001: 2022条款讲解均可以通过以下网址查看相对应讲解的视频:https://video.27001.cn/course-3.html
【行动要点】
(1)建立相关方要求管理过程(如图二);
(2)形成书面的《相关方要求管理流程》或《相关方要求管理程序》,明确相关方要求的管控范围(如法律法规要求和顾客要求),相关方要求识别途径,时机和频率,以及相关方要求清单的监视和评审要求等;
(3)按照《相关方要求管理流程》或《相关方要求管理程序》,输出信息安全适用法律法规清单和顾客信息安全要求清单,并定期对其进行监视和评审,必要时,对其进行更新。
备注2:本系列讲解对应的过程乌龟图,以及输出的表单记录(示例),将在即将出版的书籍《ISO/IEC 27001: 2022标准详解与实施》中呈现。
备注3:本系列讲解的配套文件(包含一阶文件,二阶文件,三阶文件,以及四阶文件),所有文件均是独家全新编写的,企业付费(暂不接受个人付费)可以获取,请见《独家:ISO/IEC 27001: 2022全新全套文件提供和使用指导》。
【输出文档】
(1)《相关方要求管理流程》或《相关方要求管理程序》;
(2)信息安全适用法律法规清单和顾客信息安全要求清单;
(3)信息安全适用法律法规清单和顾客信息安全要求清单监视和评审记录。
【审核要点】
(1)是否建立相关方要求管理过程,并形成书面的二阶文件;
(2)是否按照文件输出信息安全适用法律法规清单和顾客信息安全要求清单;
(3)是否定期对信息安全适用法律法规清单和顾客信息安全要求清单进行监视和评审,能否提供相关监视和评审的记录。
