ISO/IEC 27001: 2022标准 正文 7 Support 支持/7.3 Awareness 意识

7.3 Awareness 意识

Persons doing work under the organization’s control shall be aware of:
在组织控制下工作的人员应知晓:

a) the information security policy;
a) 信息安全方针;

b) their contribution to the effectiveness of the information security management system, including the benefits of improved information security performance; and
b) 其对信息安全管理体系有效性的贡献,包括改进信息安全绩效带来的益处;以及

c) the implications of not conforming with the information security management system requirements.
c) 不符合信息安全管理体系要求带来的影响。
ISO/IEC 27001:2013标准 正文 7 支持/7.3 意识

7.3 意识

在组织控制下工作的人员应了解:

a) 信息安全方针;
b) 其对信息安全管理体系有效性的贡献,包括改进信息安全绩效带来的益处;
c) 不符合信息安全管理体系要求带来的影响。

标准解析

  1. 本条款(ISO/IEC 27001: 2022)没有变化,与ISO/IEC 27001: 2013一样。
  2. 本条款与7.2和附录A中A.6,都属于人力资源安全模块,形成的文件化要求可以在《人力资源安全管理程序》和《人力资源管理程序》;
  3. 《人力资源安全管理程序》和《人力资源管理程序》中有关信息安全培训要求应包含以下要求:(1)信息安全方针培训和宣导;(2)信息安全目标的培训和宣导;(3)信息安全奖惩制度和细则的培训;(4)信息安全管理体系基本知识,以及组织员工信息安全基本规范的培训。

实施本条款应输出的文档:

  1. 《人力资源安全管理程序》和《人力资源管理程序》;
  2. 年度培训计划、培训签到表、培训评价表、培训教材等。

本条款审核要点:

  1. 审核《人力资源安全管理程序》和《人力资源管理程序》是否包含本条款内容;
  2. 查看组织信息安全方针、信息安全目标、信息安全管理体系基本知识以及员工信息安全基本要求的培训记录,如培训签到表、培训评价表、培训教材等。

ISO/IEC 27001:2013标准解读(16)正文 7 支持/7.3 意识