ISO/IEC 27001: 2022 标准详解与实施（第2版）07，5 领导作用/5.2 方针

5 领导作用/5.2 方针

5.2 方针 最高管理层应建立信息安全方针，该方针应： a) 与组织意图相适宜； b) 包含信息安全目标（见6.2）或为设定信息安全目标提供框架； c) 包含对满足适用的信息安全相关要求的承诺； d) 包括对持续改进信息安全管理体系的承诺。 信息安全方针应： e) 形成文件化信息并可用； f) 在组织内得到沟通； g) 适当时，对相关方可用。

【新版变化】

新版5.2本质上是没有变化的，只是删除了英文原版中c)末尾的“and”，中文版其实看不出变化的。

【标准理解】

（1）最高管理者应制定书面的信息安全方针，并对方针进行批准。

（2）在建立信息安全方针时，应考虑：组织意图（4.1）、信息安全目标（6.2）、相关方要求（4.2）的承诺、以及持续改进（10.1）的承诺等。

（3）信息安全方针，应通过沟通管理过程（7.4），人力资源管理过程（7.3）等在组织内部进行沟通、培训和宣导。

（4）信息安全方针，适宜时，应通过沟通管理过程（7.4），采购和供应链管理过程（ISO 9001: 2015，8.4）传达到组织的供应商。

（5）信息安全方针，适宜时，应通过沟通管理过程（7.4），顾客沟通管理过程（ISO 9001: 2015，8.2.1）传达到组织的顾客。

（6）信息安全方针，应定期进行评审，必要时，对其进行更新。信息安全方针的更新，需要按照6.3的要求进行。

备注1：本系列所有ISO/IEC 27001: 2022条款讲解均可以通过以下网址查看相对应讲解的视频：https://video.27001.cn/course-3.html

【行动要点】

（1）建立信息安全方针管理过程（如图十）；

（2）形成书面的《信息安全方针管理流程》或《信息安全方针管理程序》，明确信息安全方针建立职责，建立流程和要求，以及信息安全方针评审、变更、培训、宣导和沟通要求；

（3）按照《信息安全方针管理流程》或《信息安全方针管理程序》，对信息安全方针的建立、评审、变更、培训、宣导以及沟通进行控制，并输出相应的记录。

备注2：本系列讲解对应的过程乌龟图，以及输出的表单记录（示例），将在即将出版的书籍《ISO/IEC 27001： 2022标准详解与实施》中呈现。

备注3：本系列讲解的配套文件（包含一阶文件，二阶文件，三阶文件，以及四阶文件），所有文件均是独家全新编写的，企业付费（暂不接受个人付费）可以获取，请见《独家：ISO/IEC 27001: 2022全新全套文件提供和使用指导》。

【输出文档】

（1）《信息安全方针管理流程》或《信息安全方针管理程序》；

（2）书面的信息安全方针；

（3）信息安全方针评审记录、信息安全方针变更记录；

（4）信息安全方针培训、宣导和沟通记录。

【审核要点】

（1）是否建立书面的信息安全方针，并有最高管理者签字批准；

（2）信息安全方针是否符合本条款 a)-d)要求；

（3）信息安全方针是否定期评审，能否提供评审记录；

（4）信息安全方针是否有进行更新，能否提供变更相关的记录；

（5）信息安全方针是否在组织内进行培训、宣导和沟通，能否提供相关记录。