ISO/IEC 27001: 2022标准 正文 7 Support 支持/7.3 Awareness 意识 |
7.3 Awareness 意识 Persons doing work under the organization’s control shall be aware of: 在组织控制下工作的人员应知晓: a) the information security policy; a) 信息安全方针; b) their contribution to the effectiveness of the information security management system, including the benefits of improved information security performance; and b) 其对信息安全管理体系有效性的贡献,包括改进信息安全绩效带来的益处;以及 c) the implications of not conforming with the information security management system requirements. c) 不符合信息安全管理体系要求带来的影响。 |
ISO/IEC 27001:2013标准 正文 7 支持/7.3 意识 |
7.3 意识 在组织控制下工作的人员应了解: a) 信息安全方针; b) 其对信息安全管理体系有效性的贡献,包括改进信息安全绩效带来的益处; c) 不符合信息安全管理体系要求带来的影响。 |
标准解析:
- 本条款(ISO/IEC 27001: 2022)没有变化,与ISO/IEC 27001: 2013一样。
- 本条款与7.2和附录A中A.6,都属于人力资源安全模块,形成的文件化要求可以在《人力资源安全管理程序》和《人力资源管理程序》;
- 《人力资源安全管理程序》和《人力资源管理程序》中有关信息安全培训要求应包含以下要求:(1)信息安全方针培训和宣导;(2)信息安全目标的培训和宣导;(3)信息安全奖惩制度和细则的培训;(4)信息安全管理体系基本知识,以及组织员工信息安全基本规范的培训。
实施本条款应输出的文档:
- 《人力资源安全管理程序》和《人力资源管理程序》;
- 年度培训计划、培训签到表、培训评价表、培训教材等。
本条款审核要点:
- 审核《人力资源安全管理程序》和《人力资源管理程序》是否包含本条款内容;
- 查看组织信息安全方针、信息安全目标、信息安全管理体系基本知识以及员工信息安全基本要求的培训记录,如培训签到表、培训评价表、培训教材等。