| 4 组织环境/4.4 信息安全管理体系 |
4.4 信息安全管理体系 组织应按照本文件的要求,建立、实现、维护和持续改进信息安全管理体系,包括信息安全管理体系所需的过程及其相互作用。 |
【新版变化】
新版4.4有轻微变化,增加了“包括信息安全管理体系所需的过程及其相互作用”这句话,但对于实施没有太大的影响。
【标准理解】
(1)组织应按照ISO/IEC 27001: 2022要求,以及结合4.1,4.2和4.3的输出信息,确定建立、实施、保持和持续改进信息安全管理体系所需的过程(如输出过程清单),并确认这些过程之间的相互关系(如输出过程相互关系图);
(2)组织应利用乌龟图(或其他工具),明确各过程的输入和输出,控制文件,绩效指标,所需资源,职责等(此条要求,组织可以根据需要进行选择,因为在条款4.4中并没有明确该要求,但是在ISO 9001: 2015, 4.4中有明确要求);
(3)过程清单,过程相互关系图以及乌龟图(可选),应形成书面的文件;
(4)本条款涉及的过程策划,与8.1涉及的过程运行策划是有区别的。本条款仅要求输出过程清单,过程相互关系图以及乌龟图(可选),而不涉及二阶文件的具体内容。但是8.1则是利用本条款的输出,作为输入信息,进一步输出具体的程序文件,以及由程序文件引出的三阶文件。
备注1:本系列所有ISO/IEC 27001: 2022条款讲解均可以通过以下网址查看相对应讲解的视频:https://video.27001.cn/course-3.html
【行动要点】
(1)建立ISMS过程策划管理过程(如图七);
(2)形成书面的《ISMS过程策划管理流程》或《ISMS过程策划管理程序》,明确ISMS过程、过程相互关系、以及乌龟图确定、评审和更新等要求;
(3)按照《ISMS过程策划管理流程》或《ISMS过程策划管理程序》,对ISMS过程、过程相互关系、以及乌龟图进行确定、评审和更新,并输出相应的记录。
备注2:本系列讲解对应的过程乌龟图,以及输出的表单记录(示例),将在即将出版的书籍《ISO/IEC 27001: 2022标准详解与实施》中呈现。
备注3:本系列讲解的配套文件(包含一阶文件,二阶文件,三阶文件,以及四阶文件),所有文件均是独家全新编写的,企业付费(暂不接受个人付费)可以获取,请见《独家:ISO/IEC 27001: 2022全新全套文件提供和使用指导》。
【输出文档】
(1)《ISMS过程策划管理流程》或《ISMS过程策划管理程序》;
(2)ISMS过程清单;
(3)ISMS过程相互关系图;
(4)ISMS过程乌龟图(可选)。
【审核要点】
(1)是否输出书面的ISMS过程清单;
(2))是否输出书面的ISMS过程相互关系图;
(3)是否利用乌龟图(或其他工具),明确各过程的输入和输出,控制文件,绩效指标,所需资源,职责等,能否提供书面的记录(可选)。
