ISO/IEC 27001: 2022标准 正文 4 Context of the organization 组织环境/4.2 Understanding the needs and expectations of interested parties 理解相关方的需求和期望织及其环境 |
4.2 Understanding the needs and expectations of interested parties 理解相关方的需求和期望 The organization shall determine: 组织应确定: a) interested parties that are relevant to the information security management system; a) 信息安全管理体系相关方; b) the relevant requirements of these interested parties; b) 这些相关方的相关要求; c) which of these requirements will be addressed through the information security management system. c) 哪些要求可以通过信息安全管理体系得到解决。 NOTE The requirements of interested parties can include legal and regulatory requirements and contractual obligations. 注:相关方的要求可包括法律、法规要求和合同义务 |
ISO/IEC 27001:2013标准 正文 4 组织环境/4.2 理解相关方的需求和期望 |
4.2 理解相关方的需求和期望 组织应确定: a) 与信息安全管理体系有关的相关方; b) 这些相关方与信息安全有关的要求。 注:相关方的要求可能包括法律法规要求和合同义务。 |
标准解析:
- 本条款ISO/IEC 27001: 2022与ISO/IEC 27001: 2013要求的结果是一样的,都是要求识别出与信息安全管理体系有关的相关方的信息安全要求。但ISO/IEC 27001: 2022与ISO/IEC 27001: 2013要求得到结果的过程不一样。ISO/IEC 27001: 2022将ISO/IEC 27001: 2013的b)条款拆成了b)和c)。ISO/IEC 27001: 2022要求,要先识别出与信息安全管理体系有关的相关方所有要求,可能涵盖质量要求、信息安全要求等,然后再识别哪些要求可以通过信息安全管理体系解决。
- 这个条款,跟4.1一样,是目前是各个体系的通用条款,只是各个体系标准要求的侧重点不同,本标准主要关注相关方的信息安全方面的需求和期望(见本条款c)。所以在实施这个条款时,同样推荐的做法是,与质量、环境以及职业健康安全等管理体系整合一起实施。
- 在理解本条款的相关方时,可以参考本条款的备注,重点关注信息安全相关法律法规和客户的合同要求(涉及信息安全的)。但在ISO 9001: 2015等新版体系中,有明确指出相关方包括股东、客户、员工、供应商等。因此,在实施信息安全管理体系考虑相关方的时候,最好的做法是参照ISO 9001: 2015中相关方的要求,也需要关注员工的个人信息的保密要求,供应商提供的产品和服务的授权以及保密要求。
- 在实施ISO/IEC 27001: 2022过程中,要满足4.2的要求,组织必须建立相关方要求分析过程,并形成书面文件。文件必须明确相关方及其要求识别的主导部门,获取途径,获取频率,评审周期等。
实施本条款应输出的文档:
- 《相关方要求管理程序》。
- 适用法律法规清单及评价记录。
- 客户信息安全要求清单及评审记录。
本条款审核要点:
- 是否能提供适用法律法规清单及评价记录。
- 是否有对客户信息安全要求进行收集和评价,并能提供相关记录。