ISO/IEC 27001: 2022标准解读(14)正文 7 支持/7.1 资源

ISO/IEC 27001:2013标准 正文 7 支持/7.1 资源

7.1 资源

组织应确定并提供建立、实现、维护和持续改进信息安全管理体系所需的资源。

标准解读:

  1. 7.1条款文字描述很简单,但其所涵盖的内容其实很多,要想要理解这个条款最好的方式是参照ISO 9001:2015标准。在ISO 9001:2015标准中的7.1条款下面分了几个子条款从不同的方面,描述了实施和维护体系所需的具体资源;
  2. 参照ISO 9001:2015条款,我们清晰的知道,要建立、实现、维护和持续改进信息安全管理体系,需要提供以下资源:(1)人力资源;(2)基础设施;(3)工作环境等;
  3. 人力资源:组织应确定实施信息安全管理体系所需的人力资源,并结合5.3和7.2明确人员职责、能力和技能等;
  4. 基础设施,如机房,厂区,信息系统,安全软件,水电,消防设施等;
  5. 工作环境,包含社会因素(如非歧视),心里因素(减压、过度疲劳),物理因素(温度、湿度等);
  6. 实施本条款可以形成书面的程序文件,如《信息安全规划管理程序》,也可以不形成书面的程序文件,但必须要有书面的证据表明为信息安全管理体系的建立、实现、维护和持续改进提供了所必须的资源。

实施本条款应输出的文档:

  1. 《信息安全规划管理程序》(可选,非必须);
  2. 信息安全岗位任职资格材料;
  3. 信息安全相关的基础设施清单,如安全软件清单,安全设备清单等;
  4. 信息安全规划资料;
  5. 信息安全年度预算。

本条款审核要点:

  1. 是否能够提供信息安全年度预算及财务支付凭证;
  2. 是否能够提供信息安全规划资料,其中是否包括所需相关资源;
  3. 是否配备充足的人力资源,能够提供信息安全岗位清单及岗位任职资格材料;
  4. 信息安全相关的基础设施是否满足现有信息安全管理的需求,能够提供相关的清单,如安全软件清单,安全设备清单等;