ISO/IEC 27001: 2022标准 正文 4 Context of the organization 组织环境/4.4 Information security management system 信息安全管理体系

4.4 Information security management system 信息安全管理体系

The organization shall establish, implement, maintain and continually improve an information security management system, including the processes needed and their interactions, in accordance with the requirements of this document.
组织应按照本文件的要求,建立、实现、维护和持续改进信息安全管理体系,包括信息安全管理体系所需的过程及其相互作用。
ISO/IEC 27001:2013标准 正文 4 组织环境/4.4 信息安全管理体系

4.4 信息安全管理体系

组织应该按照本标准的要求,建立、实现、维护和持续改进信息安全管理体系。

标准解析

  1. 本条款(ISO/IEC 27001: 2022)条文与ISO/IEC 27001:2013相比,增加了“包括信息安全管理体系所需的过程及其相互作用”这句话,更加明确了,在建立信息安全管理体系的过程中,需要信息安全管理体系所需的过程及其相互作用。
  2. 本条款规定了建立、实施、维护和持续改进信息安全管理体系的总体要求。ISO/IEC 27001:2022的其他部分描述了信息安全管理体系的要求要素,本条款就是要求组织建立的信息安全管理体系需要符合ISO/IEC 27001:2022其他所有的要求要素。
  3. 要实现本条款要求,组织应该根据ISO/IEC 27001:2022的其他全部要求,建立信息安全管理体系一阶文件(信息安全管理纲领性文件、SOA适用性声明、信息安全策略集)、二阶文件(程序文件)、三阶文件(操作指南)以及四阶文件(记录表单)。
  4. 其实早在ISO 9001:2015的“4.4”中,就有明确要求组织必须确定质量管理体系所需过程及相互关系,也就是必须形成过程乌龟图以及过程关系图。所有可以借鉴ISO 9001:2015的实施,来理解和实施ISO/IEC 27001:2022中新增加的这句话(“包括信息安全管理体系所需的过程及其相互作用”),同时在ISO/IEC 27001:2022引言中,有特别强调,信息安全管理体系是组织的过程和整体结构的一部分并集成在其中,同时在ISO/IEC 27001:2022的“5.1”中也有强调,最高管理者应确保将信息安全管理体系要求整合到组织过程中。因此要满足本条款要求,组织必须将ISO/IEC 27001:2022相应的要求整合到组织原来的过程中,如内部审核过程,管理评审过程,人力资源管理过程、环境分析过程、相关方要求分析过程等,同时无法整合过程可以单独形成过程,如信息安全风险评估过程。

实施本条款应输出的文档

  1. 信息安全管理体系文件和记录清单。
  2. 信息安全管理体系过程清单。
  3. 信息安全管理体系过程关系图。

本条款审核要点

  1. 审核组织是否根据“4.3”的输出,策划信息安全管理体系的过程、文件和记录。
  2. 检查文件清单和记录清单。

ISO/IEC 27001:2013标准解读(6)正文 4 组织环境/4.4 信息安全管理体系