ISO/IEC 27001: 2022标准解读(20)正文 9 绩效评价/9.1 监视、测量、分析和评价
ISO/IEC 27001: 2022标准解读(21)正文 9 绩效评价/9.2 内部审核
ISO/IEC 27001: 2022标准解读(22)正文 9 绩效评价/9.3 管理评审
| ISO/IEC 27001:2013标准 正文 9 绩效评价 |
9.1 监视、测量、分析和评价 组织应评价信息安全绩效以及信息安全管理体系的有效性。 组织应确定: a) 需要被监视和测量的内容,包括信息安全过程和控制; b) 适用的监视、测量、分析和评价的方法,以确保得到有效的结果; 注:所选的方法宜产生可比较和可再现的有效结果。 c) 何时应执行监视和测量; d) 谁应监视和测量; e) 何时应分析和评价监视和测量的结果; f) 谁应分析和评价这些结果。 组织应保留适当的文件化信息作为监视和测量结果的证据。 9.2 内部审核 组织应按计划的时间间隔进行内部审核,以提供信息,确定信息安全管理体系: a) 是否符合: 1) 组织自身对信息安全管理体系的要求; 2) 本标准的要求。 b) 是否得到有效实现和维护。 组织应: c) 规划、建立、实现和维护审核方案(一个或多个),包括审核频次、方法、责任、规划要求和报告。 审核方案应考虑相关过程的重要性和以往审核的结果。 d) 定义每次审核的审核准则和范围。 e) 选择审核员并实施审核,确保审核过程的客观性和公正性。 f) 确保将审核结果报告至相关管理层。 g) 保留文件化信息作为审核方案和审核结果的证据。 9.3 管理评审 最高管理层应按计划的时间间隔评审组织的信息安全管理体系,以确保其持续的适宜性、充分性和有效性。 管理评审应考虑: a) 以往管理评审提出的措施的状态; b) 与信息安全管理体系相关的外部和内部事项的变化; c) 有关信息安全绩效的反馈,包括以下方面的趋势: 1) 不符合和纠正措施; 2) 监视和测量结果; 3) 审核结果; 4) 信息安全目标完成情况; d) 相关方反馈; e) 风险评估结果及风险处置计划的状态; f) 持续改进的机会。 管理评审的输出应包括与持续改进机会相关的决定以及变更信息安全管理体系的任何需求。 组织应保留文件化信息作为管理评审结果的证据。 |
标准解读:
- 9.1条款要求对信息安全绩效(如目标完成情况)以及信息安全管理体系的有效性(如控制措施的有效性)进行监测、并对结果进行分析和评价;
- 可以根据本条款的要求,形成书面的《信息安全监视和测量控制程序》,在文件中明确监视和测量的内容,监视和测量的流程和方法,监视和测量的频率等;
- 目前监视和测量的内容一般考虑信息安全目标和控制措施有效性测量;
- 测量和监视、分析以及评价等需要有记录。
- 9.2 与9.3 为各体系通用条款,可以整合实施,将内容整合到原有的《内部审核控制程序》和《管理评审控制程序》。
- 《内部审核控制程序》和《管理评审控制程序》对ISMS内审和管理评审进行策划和实施,并输出相关报告和记录。
实施本条款应输出的文档:
- 《信息安全监视和测量控制程序》《内部审核控制程序》《管理评审控制程序》;
- 信息安全目标完成情况跟踪记录,以及分析和评价记录;
- 控制措施有效性测量记录。
- 内审计划、内审检查表、内审报告、不符合报告、内审会议记录等;
- 管理评审计划、管理评审输出材料、管理评审报告等。
本条款审核要点:
- 检查《信息安全监视和测量控制程序》;
- 检查信息安全目标完成情况跟踪记录,以及分析和评价记录;
- 检查控制措施有效性测量记录。
- 审核内部审核相关记录(内审计划、内审检查表、内审报告、不符合报告、内审会议记录等)是否齐全,不符合项是否关闭。
- 审核管理评审相关记录(管理评审计划、管理评审输出材料、管理评审报告等)是否齐全,管理评审输入材料是否全面涵盖9.3 a)-f)各项内容。
