ISO/IEC 27001:2022标准 正文 4 Context of the organization 组织环境/4.1 Understanding the organization and its context 理解组织及其环境

4.1 Understanding the organization and its context 理解组织及其环境

The organization shall determine external and internal issues that are relevant to its purpose and that affect its ability to achieve the intended outcome(s) of its information security management system.
组织应确定与其意图相关的,且影响其实现信息安全管理体系预期结果能力的外部和内部事项。

NOTE Determining these issues refers to establishing the external and internal context of the organization considered in Clause 5.4.1 of ISO 31000:2018.
:对这些事项的确定,参见ISO31000:2018 ,5.4.1中建立外部和内部环境的内容。
ISO/IEC 27001:2013标准 正文 4 组织环境/4.1 理解组织及其环境

4.1 理解组织及其环境

组织应确定与其意图相关的,且影响其实现信息安全管理体系预期结果能力的外部和内部事项。

:确定这些问题涉及到建立组织的外部和内部环境,在ISO 31000:2009的5.3节考虑了这一事项。

标准解析

  1. 本条款与ISO/IEC 27001:2013一样,没有变化,仅更新了备注中的ISO 31000标准版本更新到最新版本。因此,在实施这个条款时,可以比照SO/IEC 27001:2013;
  2. 这个条款,目前是各个体系的通用条款,只是各个体系标准要求的侧重点不同,本标准主要关注组织信息安全方面的内外部因素。所以在实施这个条款时,推荐的做法是,与质量、环境以及职业健康安全等管理体系整合一起实施;
  3. 按照条款要求,组织必须建立识别影响信息安全管理体系的相关内外部因素的流程,并形成文件,文件应明确负责部门,识别时机和频率,以及收集内外部因素过程中的输入材料,即从哪些途径获得组织内外部因素。
  4. 前面说到,4.1这个条款,是各个体系的通用条款,ISO/IEC 27001:2013与ISO 9001:2015在4.1的文字叙述上其实是大同小异的;
  5. 这个条款,有一个重要的注解,提到本条款在实施过程中,可以参考ISO 31000这个标准。前面解析引言部分的时候提到,条款“4.1 理解组织及其环境”以及“6.1.1 总则”中,所涉及风险识别的要求,是针对整个组织而言的,这个属于战略层面,而“6.1.2 信息安全风险评估、6.1.3 信息安全风险处置、8.2 信息安全风险评估以及8.3 信息安全风险处置”所要求的风险评估,偏重于信息系统的风险评估,属于执行层的,参考的标准是ISO/IEC 27005。

实施本条款应输出的文档

  1. 《环境分析控制程序》
  2. 公司内外部因素清单以及评审记录。

本条款审核要点

  1. 是否按照标准条款要求,建立环境分析控制流程,并形成文件,如《环境分析控制程序》;
  2. 《环境分析控制程序》文件中是否明确公司有哪些与信息安全相关的内外部因素,是否有明确个内外因素收集途径、收集责任部门/人,收集频率,评审方式和频率等;
  3. 是否有按照《环境分析控制程序》文件要求,收集公司信息安全相关的内外部因素(需要提供相关书面清单),是否按照《环境分析控制程序》文件要求的频率定期对内外部因素清单做评审,并提供相关评审记录。

ISO/IEC 27001:2013标准解读(3)——正文 4 组织环境/4.1 理解组织及其环境