ISO/IEC 27001:2013标准 正文 7 支持/7.4 沟通

组织应确定与信息安全管理体系相关的内部和外部的沟通需求,包括:

a) 沟通什么;
b) 何时沟通;
c) 与谁沟通;
d) 谁来沟通;
e) 影响沟通的过程。

标准解读:

 1. 本条款与附录A中的A.6.1.3和A.6.1.4属于信息安全沟通模块,可以与组织其他体系(如ISO 9001等)的沟通模块整合实施,因此本条款要求可以整合到组织原有的《沟通管理程序》中,也可以单独形成《信息安全沟通管理程序》;
 2. 《沟通管理程序》或《信息安全沟通管理程序》中,应明确信息安全沟通(包含内部和外部的沟通)的基本流程、沟通的职责划分、沟通基本事项、沟通的时机、沟通的对象、沟通方式等;
 3. 在确定沟通对象时,应确保所有影响信息安全的人员理解有效沟通的要求;
 4. 应形成书面的内外沟通事项清单,包含沟通的具体事项、沟通对象以及沟通时机和频率、沟通方式等;
 5. 外部沟通如:(1)外部供方和承包方;(2)顾客和(或)消费者;(3)立法和监管部门;(4)对信息安全管理体系的有效性或更新具有影响;(6)或将受其影响的其他组织;
 6. 内部沟通如:(1)组织的业务过程;(2)信息资产和重要信息资产;(3)组织各业务过程主要风险及处置措施;(4)工作场所、设施位置和周围环境;(5)能力和(或)职责及权限分配;(6)适用的法律法规要求(7)与信息安全破坏和控制措施有关的知识;(8)组织遵守的顾客、行业和其他要求;(9)内部员工个人信息;(10)来自外部相关方的有关问询和沟通;(11)表明与业务过程有关的信息安全破坏的抱怨和警示;(12)影响信息安全的其他条件。
 7. 沟通方式可以是:(1)会议;(2)电话;(3)电子邮件;(4)联络函等。

实施本条款应输出的文档:

 1. 《沟通管理程序》或《信息安全沟通管理程序》;
 2. 信息安全内部和外部沟通事项清单;
 3. 信息安全沟通记录,如电子邮件、联络函、会议记录等。

本条款审核要点:

 1. 审核《沟通管理程序》或《信息安全沟通管理程序》是否包含基本流程、沟通的职责划分、沟通基本事项、沟通的时机、沟通的对象、沟通方式等;
 2. 审核信息安全内部和外部沟通事项清单,检查是否包含沟通的具体事项、沟通对象以及沟通时机和频率、沟通方式等;
 3. 信息安全内部和外部沟通事项清单中的沟通事项是否有实施,可以查看相关沟通记录来验证。