| 5 领导作用/5.1 领导和承诺 |
5.1 领导和承诺 最高管理层应通过以下活动,证实对信息安全管理体系的领导和承诺: a) 确保建立了信息安全方针和信息安全目标,并与组织战略方向一致; b) 确保将信息安全管理体系要求整合到组织过程中; c) 确保信息安全管理体系所需资源可用; d) 沟通有效的信息安全管理及符合信息安全管理体系要求的重要性; e) 确保信息安全管理体系达到预期结果; f) 指导并支持相关人员为信息安全管理体系的有效性做出贡献; g) 促进持续改进; h) 支持其他相关管理角色,以证实他们在适用责任领域的领导能力。 注:本文件使用的“业务”一词可广义地理解为涉及组织存在目的的核心活动。 |
【新版变化】
新版5.1没有变化,只是增加了条款末尾的注解,对实施没有影响。
【标准理解】
(1)本条款中的a)-h)都是ISO/IEC 27001: 2022标准中其他条款中的要求,之所以把这些要求汇总到5.1,是因为这些条款要素涉及的活动,都是组织的最高管理者必须亲自参与或亲自指挥的,以此来证实最高管理者对信息安全管理体系的领导和承诺;
(2)最高管理者亲自参与或亲自指挥5.1要求的活动,必须有相关书面记录,不能空口说白话;
(3)确保建立了信息安全方针和信息安全目标,并与组织战略方向一致:最高管理者必须亲自参与或亲自指挥5.2 方针,6.2 信息安全目标及其实现的策划等条款活动;
(4)确保将信息安全管理体系要求整合到组织的业务过程中:最高管理者必须亲自参与或亲自指挥6.1应对机遇和风险措施等条款活动。
(5)确保信息安全管理体系所需资源可用:最高管理者必须亲自参与或亲自指挥7.1 资源等条款活动。
(6)传达信息安全管理有效实施、符合信息安全管理体系要求的重要性:最高管理者必须通过7.4 沟通等条款活动,对组织高层,各部门负责人,以及全体员工通过各种方式(如会议,现场讲话,视频讲话,公告,邮件通知等)沟通有效的信息安全管理和符合信息安全管理体系要求的重要性。
(7)确保信息安全管理体系实现其预期结果:最高管理者必须亲自参与或亲自指挥9.1 监视、测量、分析和评价,9.2 内部审核,以及9.3 管理评审等条款活动。
(8)指挥并支持人员为信息安全管理体系的有效实施作出贡献:最高管理者必须亲自参与或亲自指挥7.2 能力,7.3 意识,7.4 沟通等条款活动。
(9)促进持续改进:最高管理者必须亲自参与或亲自指挥10 改进等条款活动。
(10)支持其他相关管理角色在其职责范围内展示他们的领导力:最高管理者必须亲自参与或亲自指挥7.1 资源,7.2 能力,7.3 意识,7.4 沟通等条款活动。
备注1:本系列所有ISO/IEC 27001: 2022条款讲解均可以通过以下网址查看相对应讲解的视频:https://video.27001.cn/course-3.html
【行动要点】
(1)建立领导和承诺管理过程(如图八);
(2)形成书面的《领导和承诺管理流程》或《领导和承诺管理程序》,明确最高管理者必须参与或指挥的信息安全管理体系的过程,以及参与时机,和最高管理者参与过程中的具体职责等;
(3)按照《领导和承诺管理流程》或《领导和承诺管理程序》,最高管理者及时参与信息安全管理体系的相关过程中,并输出相应的记录。
备注2:本系列讲解对应的过程乌龟图,以及输出的表单记录(示例),将在即将出版的书籍《ISO/IEC 27001: 2022标准详解与实施》中呈现。
备注3:本系列讲解的配套文件(包含一阶文件,二阶文件,三阶文件,以及四阶文件),所有文件均是独家全新编写的,企业付费(暂不接受个人付费)可以获取,请见《独家:ISO/IEC 27001: 2022全新全套文件提供和使用指导》。
【输出文档】
(1)《领导和承诺管理流程》或《领导和承诺管理程序》;
(2)最高管理者参与相关过程的工作记录,如管理评审会议记录,方针评审和批准记录,持续改进工作会议记录等。
【审核要点】
(1)访谈最高管理者,是否参与到5.1要求的相关活动。
(2)验证管理评审会议记录,是否有最高管理者参与。
(3)方针和目标评审是否有最高管理者参与,方针是否由最高管理者批准,能否提供相关记录。
(4)最高管理者是否定期组织持续改进工作会议,能否提供会议记录。
