| 5 PIMS-specific requirements related to ISO/IEC 27001 与ISO/IEC 27001相关的隐私信息管理体系(PIMS)的特定要求/5.3 Leadership 领导/5.3.2 Policy 方针 |
5.3.2 Policy 方针 The requirements stated in ISO/IEC 27001:2013, 5.2 along with the interpretation specified in 5.1, apply ISO/IEC 27001:2013, 5.2陈述的要求,以及5.1明确的解释,适用。 |
| ISO/IEC 27001:2013, 5.2 方针 |
5.2 方针 最高层管理者应建立信息安全方针,以: a) 适于组织的目标; b) 包含信息安全目标(见6.2)或设置信息安全目标提供框架; c) 包含满足适用的信息安全相关要求的承诺; d) 包含信息安全管理体系持续改进的承诺。 信息安全方针应: e) 文件化并保持可用性; f) 在组织内部进行传达; g) 适当时,对相关方可用。 |
【标准理解】
(1)本条款(5.3.2)是以ISO/IEC 27001: 2013中的“5.2 方针”为内核,没有额外的附加要求,在实施ISO/IEC 27701: 2019时,只需要满足ISO/IEC 27001: 2013中的“5.2 方针”要求,以及5.1中的通用扩展要求。
(2)组织应依据5.1中的通用扩展要求,对ISO/IEC 27001: 2013中的“5.2 方针”中内容进行扩展,凡是出现“信息安全”的地方,一律需要替换成“信息安全和隐私”,如“信息安全方针”替换成“信息安全和隐私方针”,“信息安全目标”替换成“信息安全和隐私目标”等。
(3)最高管理者应制定书面的信息安全和隐私方针,并对方针进行批准。
(4)在建立信息安全和隐私方针时,应考虑:组织的业务目标、组织的环境(5.2.1)、信息安全和隐私目标(5.4.2)、相关方要求(5.2.2)的承诺、以及持续改进(5.8.2)的承诺等。
(5)信息安全和隐私方针,应通过沟通管理过程(5.5.4),人力资源管理过程(5.5.3)等在组织内部进行沟通、培训和宣导。
(6)信息安全和隐私方针,适宜时,应通过沟通管理过程(5.5.4),采购和供应链管理过程(ISO 9001: 2015,8.4)传达到组织的供应商。
(7)信息安全和隐私方针,适宜时,应通过沟通管理过程(5.5.4),顾客沟通管理过程(ISO 9001: 2015,8.2.1)传达到组织的顾客。
(8)信息安全和隐私方针,应定期进行评审,必要时,对其进行更新。
【行动要点】
(1)建立信息安全和隐私方针管理过程。
(2)形成书面的《信息安全和隐私方针管理流程》或《信息安全和隐私方针管理程序》,明确信息安全和隐私方针建立职责,建立流程和要求,以及信息安全和隐私方针评审、变更、培训、宣导和沟通要求。
(3)按照《信息安全和隐私方针管理流程》或《信息安全和隐私方针管理程序》,对信息安全和隐私方针的建立、评审、变更、培训、宣导以及沟通进行控制,并输出相应的记录。
【输出文档】
(1)《信息安全和隐私方针管理流程》或《信息安全和隐私方针管理程序》。
(2)书面的信息安全和隐私方针。
(3)信息安全和隐私方针评审记录、信息安全和隐私方针变更记录。
(4)信息安全和隐私方针培训、宣导和沟通记录。
【审核要点】
(1)是否建立书面的信息安全和隐私方针,并有最高管理者签字批准。
(2)信息安全和隐私方针是否符合ISO/IEC 27001:2013, 5.2 a)-d)要求。
(3)信息安全和隐私方针是否定期评审,能否提供评审记录。
(4)信息安全和隐私方针是否有进行更新,能否提供变更相关的记录。
(5)信息安全和隐私方针是否在组织内进行培训、宣导和沟通,能否提供相关记录。
【附】
