ISO/IEC 27001: 2022标准解读(12)正文 6 策划/6.2 信息安全目标及其实现策划

ISO/IEC 27001:2013标准 正文 6 规划/6.2 信息安全目标及其实现规划

6.2 信息安全目标及其实现规划

组织应在相关职能和层级上建立信息安全目标。

信息安全目标应:

a) 与信息安全方针一致;

b) 可测量(如可行);

c) 考虑适用的信息安全要求,以及风险评估和风险处置的结果;

d) 得到沟通;

e) 适当时更新。

组织应保留有关信息安全目标的文件化信息。

在规划如何达到信息安全目标时,组织应确定:

f) 要做什么;

g) 需要什么资源;

h) 由谁负责;

i) 什么时候完成;

j) 如何评价结果。

标准解读

  1. 应按照本条款的要求,建立书面的《信息安全目标管理程序》;
  2. 《信息安全目标管理程序》应明确:(1)公司哪些层级应建立信息安全目标,一般至少包括公司总目标和各一级部门目标,后续可以逐步将目标分解,最终分解到岗位;(2)相关层级(如公司、部门)目标由谁制定;(3)制定的目标由谁评审,多久评审一次;(4)如何追踪目标达成效果;(5)目标制定时,应满足的要求,如本条款中a)~e)的要求;(6)目标需要有实现方案,方案包括措施、投入资源、负责人、计划完成时间、结果评价方案等。
  3. 本条款需要输出,书面的公司信息安全目标,各部门信息安全分解目标,以及目标达成情况统计记录,如果有目标未达成,需要提供分析和改进记录。
  4. 很多企业在做信息安全管理体系时,由于是找咨询机构的做的,很多企业在实施这个条款的时候,只有公司目标,没有把公司目标分解到部门。如果对质量管理体系(ISO 9001)熟悉的话,在实施这个条款的时候,相对就很好理解。

实施本条款应输出的文档:

  1. 《信息安全目标管理程序》;
  2. 公司信息安全目标和部门信息安全分目标;
  3. 信息安全目标实现方案;
  4. 信息安全目标统计记录及分析改善方案;
  5. 信息安全目标评审记录。

本条款审核要点:

  1. 是否按照条款要求,建立了书面的《信息安全目标管理程序》;
  2. 是否有制定公司信息安全目标和部门信息安全分目标;
  3. 是否有制定信息安全目标实现方案;
  4. 是否有定期对信息安全目标进行评审,并提供评审记录;
  5. 是否有对信息安全目标进行统计,是否有未达成的目标,是否有对未达成的目标进行分析和提出改善方案。