ISO/IEC 27001: 2022标准解读(15)正文 7 支持/7.2 能力

ISO/IEC 27001:2013标准 正文 7 支持/7.2 能力

7.2 能力

组织应:

a) 确定在组织控制下从事会影响组织信息安全绩效的工作人员的必要能力;

b) 确保上述人员在适当的教育、培训或经验的基础上能够胜任其工作;

c) 适用时,采取措施以获得必要的能力,并评估所采取措施的有效性;

d) 保留适当的文件化信息作为能力的证据。

注:适用的措施可包括,例如针对现有雇员提供培训、指导或重新分配;雇佣或签约有能力的人员。

标准解读:

  1. 本条款与7.3以及附录A中A.7都属于人力资源相关的模块,可以合并一起形成书面的《人力资源安全管理程序》,需要与组织原有的《人力资源管理程序》进行兼容和衔接,因此也可以不单独形成书面的《人力资源安全管理程序》,而把相应的要求整合到组织原有的《人力资源管理程序》中;
  2. 《人力资源安全管理程序》中应包含本条款的相关要求,如:(1)影响信息安全绩效的岗位识别过程,包含由谁是别,如何识别,识别频率,由谁评估,以及输出影响信息安全绩效的岗位清单;(2)影响信息安全绩效的各岗位能力的要求(需要输出书面记录),如相关教育、培训和经历;(3)必要时,影响信息安全绩效的各岗位的培训要求(需要输出书面记录),以及培训的有效性时如何评价的。

实施本条款应输出的文档:

  1. 《人力资源安全管理程序》;
  2. 影响信息安全绩效的岗位清单;
  3. 影响信息安全绩效的岗位清单的识别和评审记录;
  4. 影响信息安全绩效的岗位能力识别和评审记录;
  5. 影响信息安全绩效的岗位任职资格记录;
  6. 能力培训和评价记录。

本条款审核要点:

  1. 《人力资源安全管理程序》和《人力资源管理程序》;
  2. 是否有输出影响信息安全绩效的岗位清单,和相关评审记录;
  3. 影响信息安全绩效的岗位任职资格记录;
  4. 能力培训和评价记录;
  5. 人力资源档案,资质证书等。