ISO/IEC 27001: 2022标准 正文 7 Support 支持/7.2 Competence 能力

7.2 Competence 能力

The organization shall:
组织应:

a) determine the necessary competence of person(s) doing work under its control that affects its information security performance;
a) 确定在组织控制下从事会影响组织信息安全绩效的工作人员的必要能力;

b) ensure that these persons are competent on the basis of appropriate education, training, or experience;
b) 确保上述人员在适当的教育、培训或经验的基础上能够胜任其工作;

c) where applicable, take actions to acquire the necessary competence, and evaluate the effectiveness of the actions taken; and
c) 适用时,采取措施以获得必要的能力,并评估所采取措施的有效性;

d) retain appropriate documented information as evidence of competence.
d) 保留适当的文件化信息作为能力的证据。

NOTE Applicable actions can include, for example: the provision of training to, the mentoring of, or the reassignment of current employees; or the hiring or contracting of competent persons.
注:适用的措施可包括,例如针对现有雇员提供培训、指导或重新分配;或者雇佣或签约有能力的人员。
ISO/IEC 27001:2013标准 正文 7 支持/7.2 能力

7.2 能力

组织应:

a) 确定在组织控制下从事会影响组织信息安全绩效的工作人员的必要能力;

b) 确保上述人员在适当的教育、培训或经验的基础上能够胜任其工作;

c) 适用时,采取措施以获得必要的能力,并评估所采取措施的有效性;

d) 保留适当的文件化信息作为能力的证据。

注:适用的措施可包括,例如针对现有雇员提供培训、指导或重新分配;雇佣或签约有能力的人员。

标准解析

  1. 本条款(ISO/IEC 27001: 2022)条文几乎没有变化,仅仅是原来注解中的“may”,在ISO/IEC 27001: 2022中改成了“can”,中文版的也看不出区别。
  2. 本条款与7.3以及附录A中A.6都属于人力资源相关的模块,可以合并一起形成书面的《人力资源安全管理程序》,需要与组织原有的《人力资源管理程序》进行兼容和衔接,因此也可以不单独形成书面的《人力资源安全管理程序》,而把相应的要求整合到组织原有的《人力资源管理程序》中;
  3. 《人力资源安全管理程序》中应包含本条款的相关要求,如:(1)影响信息安全绩效的岗位(如信息安全关键岗位)识别过程,包含由谁识别,如何识别,识别频率,由谁评估,以及输出影响信息安全绩效的岗位(信息安全关键岗位)清单;(2)影响信息安全绩效的各岗位(信息安全关键岗位)能力的要求(需要输出书面记录),如相关教育、培训和经历;(3)必要时,影响信息安全绩效的各岗位(信息安全关键岗位)的培训要求(需要输出书面记录),以及培训的有效性时如何评价的。

实施本条款应输出的文档:

  1. 《人力资源安全管理程序》;
  2. 影响信息安全绩效的岗位(信息安全关键岗位)清单;
  3. 影响信息安全绩效的岗位(信息安全关键岗位)清单的识别和评审记录;
  4. 影响信息安全绩效的岗位(信息安全关键岗位)能力识别和评审记录;
  5. 影响信息安全绩效的岗位(信息安全关键岗位)任职资格记录;
  6. 能力培训和评价记录。

本条款审核要点:

  1. 《人力资源安全管理程序》和《人力资源管理程序》;
  2. 是否有输出影响信息安全绩效的岗位(信息安全关键岗位)清单,和相关评审记录;
  3. 影响信息安全绩效的岗位(信息安全关键岗位)任职资格记录;
  4. 能力培训和评价记录;
  5. 人力资源档案,资质证书等。

ISO/IEC 27001:2013标准解读(15)正文 7 支持/7.2 能力