| 5 PIMS-specific requirements related to ISO/IEC 27001 与ISO/IEC 27001相关的隐私信息管理体系(PIMS)的特定要求/5.3 Leadership 领导/5.3.3 Organizational roles, responsibilities and authorities 组织的角色、职责和权限 |
5.3.3 Organizational roles, responsibilities and authorities 组织的角色、职责和权限 The requirements stated in ISO/IEC 27001:2013, 5.3 along with the interpretation specified in 5.1, apply. ISO/IEC 27001:2013, 5.3陈述的要求,以及5.1明确的解释,适用。 |
| ISO/IEC 27001:2013, 5.3 组织的角色、职责和权限 |
5.3 组织角色、职责和权限 最高层管理者应确保分配并传达了信息安全相关角色的职责和权限。 最高层管理者应分配下列职责和权限,以: a) 确保信息安全管理体系符合本标准的要求; b) 将信息安全管理体系的绩效报告给高层管理者。 注:最高层管理者可能还要分配在组织内部报告信息安全管理体系绩效的职责和权限。 |
【标准理解】
(1)本条款(5.3.3)是以ISO/IEC 27001: 2013中的“5.3 组织的角色、职责和权限”为内核,没有额外的附加要求,在实施ISO/IEC 27701: 2019时,只需要满足ISO/IEC 27001: 2013中的“5.3 组织的角色、职责和权限”要求,以及5.1中的通用扩展要求。
(2)组织应依据5.1中的通用扩展要求,对ISO/IEC 27001: 2013中的“5.3 组织的角色、职责和权限”中内容进行扩展,凡是出现“信息安全”的地方,一律需要替换成“信息安全和隐私”,如“信息安全管理体系”替换成“信息安全和隐私管理体系”。
(3)最高管理者,应分配和沟通好与信息安全和隐私管理体系(隐私信息管理体系)有关的职责和权限,如最高管理者的职责和权限、组织参与信息安全和隐私管理体系(隐私信息管理体系)的部门及其负责人的职责和权限、信息安全和隐私管理体系(隐私信息管理体系)管理者代表(如有)的职责和权限,信息安全和隐私管理体系(隐私信息管理体系)所有过程涉及的职责和权限等。
(4)最高管理者必须分配信息安全和隐私管理体系(隐私信息管理体系)所有过程涉及的职责和权限,以确保信息安全和隐私管理体系(隐私信息管理体系)符合ISO/IEC 27701: 2019要求。
(5)最高管理层必须指定一名管理者主导信息安全和隐私管理体系(隐私信息管理体系)工作(如指定管理者代表),以便向最高管理者报告信息安全和隐私管理体系(隐私信息管理体系)绩效和改进机会。
【行动要点】
(1)建立职责和权限分配管理过程。
(2)形成书面的《职责和权限分配管理流程》或《职责和权限分配管理程序》。
(3)按照《职责和权限分配管理流程》,建立信息安全和隐私管理组织,任命信息安全和隐私管理关键岗位,划分各过程职责,并进行相应的授权。
(4)形成书面的信息安全和隐私管理组织图,相关信息安全隐私管理关键人员的任命书,以及各过程的职责,并定期进行评审。
【输出文档】
(1)《职责和权限分配管理流程》或《职责和权限分配管理程序》。
(2)信息安全和隐私管理组织图,管理者代表任命书,部门职责说明,各过程职责说明等。
【审核要点】
(1)是否有形成书面的《职责和权限分配管理流程》或《职责和权限分配管理程序》。
(2)是否有形成书面的信息安全和隐私管理组织,以及主要信息安全和隐私管理岗位任命书。
(3)是否有明确各过程/各部门/主要管理岗位/关键岗位职责,能否提供相关的书面文件。
【附】
