ISO/IEC 27001: 2022标准解读(7)正文 5 领导作用/5.2 方针

ISO/IEC 27001:2013标准 正文 5 领导/5.2 方针
5.2 方针

最高层管理者应建立信息安全方针,以:
a) 适于组织的目标;
b) 包含信息安全目标(见6.2)或设置信息安全目标提供框架;
c) 包含满足适用的信息安全相关要求的承诺;
d) 包含信息安全管理体系持续改进的承诺。

信息安全方针应:
e) 文件化并保持可用性;
f) 在组织内部进行传达;
g) 适当时,对相关方可用。

标准解读

方针与目标管理过程乌龟图
图三 方针与目标管理过程乌龟图
  1. 本条款是常见体系标准(ISO 9001,ISO 14001以及ISO 45001等)通用条款,因此可以参照这些体系的实施方式进行实施。本条款可以与后面“6.2 信息安全目标及其实现规划”整合成“方针与目标管理过程”,此过程推荐与其他常见管理体系(ISO 9001,ISO 14001以及ISO 45001等)整合实施(参考图三)。
  2. 最高管理者必须根据组织宗旨,组织战略,组织环境,相关方以及法律法规要求等制定相适宜的信息安全方针,并批准。
  3. 信息安全方针宜反映组织的业务状况、文化、问题以及与信息安全有关的关注点。信息安全方针的程度宜符合组织的宗旨和文化,并宜在便于阅读和完整性之间寻求一个平衡点。重要的是,方针的用户能够认同方针的战略方向。
  4. 信息安全方针宜括来自最高管理层的对其满足信息安全相关的要求的承诺的明确声明。
  5. 信息安全方针宜包括最高管理层支持所有活动的持续改进的明确声明。在方针中阐明这一原则是很重要的,以便ISMS范围内的人员都意识到这一点。
  6. 信息安全方针可能包括组织的信息安全目标,或者描述如何设定信息安全目标的框架(即,谁为ISMS设置它们,以及它们应该如何在ISMS范围内被部署)。例如,在非常大的组织中,高层次的目标应该由整个组织的最高管理层设定,然后根据信息安全方针中建立的框架,目标宜在一定程度上详述,以给所有相关方以方向感。
  7. 信息安全方针宜传达给ISMS范围内的所有人。因此,它的格式和语言宜是适当的,以便所有的接受者都能容易理解(如培训,通告,会议宣导、布告栏、横幅等)。
  8. 最高管理层宜决定应向哪些相关方传达方针。信息安全方针可以用将其与组织外部的相关方联系起来的方式来写。这些外部相关方的例子有:客户、供应商、承包商、分包商和监管机构。如果信息安全方针向外部相关方提供,则不宜包括机密信息。
  9. 信息安全方针可以是单独的独立方针,也可以包括在一个涵盖组织内的多个管理体系主题的全面的方针中,(例如质量、环境和信息安全)。
  10. 信息安全方针宜作为文件化信息提供。ISO/IEC 27001中的要求并不意味着这些文件化信息有任何特定的形式,因此由组织决定哪种形式是最合适的。如果组织有一个方针的标准模板,信息安全方针的形式宜使用此模板。
  11. 信息安全方针应定期进行评审。
  12. 实施本条款需要的常用文件和记录: 《方针与目标管理控制程序》 、信息安全方针、信息安全方针培训以及宣导记录、信息安全方针评审记录等。