ISO/IEC 27001: 2022标准 正文 5 Leadership 领导作用/5.1 Leadership and commitment 领导和承诺

5.1 Leadership and commitment 领导和承诺

Top management shall demonstrate leadership and commitment with respect to the information security management system by:
最高管理层应通过以下活动,证实对信息安全管理体系的领导和承诺:

a) ensuring the information security policy and the information security objectives are established and are compatible with the strategic direction of the organization;
a) 确保建立了信息安全方针和信息安全目标,并与组织战略方向一致;

b) ensuring the integration of the information security management system requirements into the organization’s processes;
b) 确保将信息安全管理体系要求整合到组织过程中;

c) ensuring that the resources needed for the information security management system are available;
c) 确保信息安全管理体系所需资源可用;

d) communicating the importance of effective information security management and of conforming to the information security management system requirements;
d) 沟通有效的信息安全管理及符合信息安全管理体系要求的重要性;

e) ensuring that the information security management system achieves its intended outcome(s);
e) 确保信息安全管理体系达到预期结果;

f) directing and supporting persons to contribute to the effectiveness of the information security management system;
f) 指导并支持相关人员为信息安全管理体系的有效性做出贡献;

g) promoting continual improvement; and
g) 促进持续改进;以及

h) supporting other relevant management roles to demonstrate their leadership as it applies to their areas of responsibility.
h) 支持其他相关管理角色,以证实他们的领导按角色应用于其责任范围。

NOTE Reference to “business” in this document can be interpreted broadly to mean those activities that are core to the purposes of the organization’s existence.
注:本文件使用的“业务”一词可广义地理解为涉及组织存在目的的核心活动。
ISO/IEC 27001:2013标准 正文 5 领导/5.1 领导和承诺

5.1 领导和承诺

最高管理者应通过下列方式展示其关于信息安全管理体系的领导力和承诺:
a) 确保建立信息安全方针和信息安全目标,并与组织的战略方向保持一致;
b) 确保将信息安全管理体系要求整合到组织的业务过程中;
c) 确保信息安全管理体系所需资源可用;
d) 传达信息安全管理有效实施、符合信息安全管理体系要求的重要性;
e) 确保信息安全管理体系实现其预期结果;
f) 指挥并支持人员为信息安全管理体系的有效实施作出贡献;
g) 促进持续改进;
h) 支持其他相关管理角色在其职责范围内展示他们的领导力。

标准解析

  1. 本条款(ISO/IEC 27001: 2022)条文要素与ISO/IEC 27001:2013一样,仅仅增加了一个注解(注:本文件使用的“业务”一词可广义地理解为涉及组织存在目的的核心活动)。
  2. 领导和承诺对于有效的信息安全管理体系至关重要。在ISO 9001:2015的“5.1”中有明确指出,最高管理者应对质量管理体系的有效性承担责任,这一要求同样适用于信息安全管理体系。
  3. 最高管理者(见ISO/IEC 27000)被定义为指导和控制ISMS最高层组织的个人或群体,即最高管理层对ISMS负总体责任,这意味着最高管理者指导ISMS与组织中的其他领域类似,比如分配和监控预算的方式,最高管理者可以代表组织的权力,为实际执行有关信息安全和ISMS的活动提供资源,但仍然保留总体责任。例如,实施和运营ISMS的组织可以是更大组织内的业务单位。在这种情况下,最高管理者是指导和控制该业务部门的个人或群体。 最高管理者也参与管理评审(见9.3)和促进持续改进(见10.2) 。
  4. 最高管理者应主导组织的信息安全方针(见5.2)以及信息安全目标(见6.2)的确立,并要确保以上两者必须与组织战略方向一致。曾经就有一个面试官问过我一个这样的问题,制定公司目标的输入材料可以哪些方面去考虑?当时我的回答是三个方面:1)公司的战略规划,2)客户及相关方要求,3)法规法规及其他要求。面试官问之所以这个问题,是他们公司每次制定公司目标时,都无从下手,当时她听了我的答案后,显然很满意,这是因为我的回答完全跟ISO标准要求的是一致的,虽然她可能对ISO体系不是太懂,但还是认为从这几方面去考虑很有道理的。
  5. 最高管理者应确保将信息安全管理体系要求整合到组织过程中,这一点至关重要,也是必须的,因为唯有如此,才能避免:1)信息安全管理体系流于形式,无法落地,2)信息安全管理体系成为负担,给正常业务造成严重的负面作用。信息安全控制措施与业务流程结合的途径有:1)校准,2)整合,3)嵌入。整合的主要目的是降低对主营业务流程干扰,以更节约的方式促进信息安全制度的落地。更多更详细关于整合的介绍可以参考:赵秀堃,谢宗晓. 信息安全与组织业务流程结合探讨[J]. 中国标准导报,2016,07:36-38。另外,具有指定的流程责任人的组织可以将实施适用的要求的职责授权给这些个人或群体。克服组织改变过程和控制的阻力也可能需要最高管理层的支持。
  6. 最高管理者宜确保有效的ISMS的资源的可用性(见7.1)。资源是ISMS的建立、及其实施、维护和改进,以及实施信息安全控制所需要的。ISMS所需的资源包括:1)财务资源,2)人力资源,3)设施,4)技术基础设施。所需资源取决于组织的背景,如规模、复杂性以及内部和外部的要求。管理评审宜提供信息指明资源对组织是否是充足的。
  7. 最高管理者宜传达组织的信息安全管理需要以及符合ISMS要求的需要。这可以通过给出实际的例子来说明在组织背景下的实际需要是什么,以及通过传达信息安全要求来完成。
  8. 最高管理者宜通过支持所有信息安全管理过程的实施,特别是通过要求和审查ISMS的状态和有效性的报告来确保ISMS实现其预期结果(参见5.3b))。 这些报告可以从测量(见6.2 b)和9.1 a))、管理评审和审计报告中得出。最高层管理层可能还要为参与ISMS的关键人员设定绩效目标。
  9. 最高管理者宜指导和支持组织内直接参与信息安全和ISMS的人员。如果不这样做,可能会对ISMS的有效性有负面影响。最高管理者的反馈可能包括计划的活动如何与组织的战略需求相一致,也可以为ISMS中的不同活动划分优先顺序。
  10. 最高管理者宜在管理评审期间评估资源需求,并为持续改进和监视计划活动的有效性设定目标。
  11. 最高管理者宜支持已被分配涉及信息安全管理角色和责任的人员,以便他们有动力并能够指导和支持他们领域内的信息安全活动。

实施本条款应输出的文档

  1. 信息安全管理层管理会议记录。
  2. 信息安全方针和目标制定和评审记录。
  3. 信息安全资源需求规划记录。
  4. 信息安全管理评审、持续改进记录。
  5. 信息安全激励记录。

本条款审核要点

  1. 访谈最高管理者,了解组织信息安全规划和实施情况,作为最高管理者参与了哪些信息安全管理事项(如信息安全方针和目标制定和评审、管理评审、资源的提供等)。
  2. 检查信息安全管理会议记录,查看最高管理者是否出席。
  3. 检查信息安全方针和目标制定和评审记录,查看最高管理者是否签字批准。
  4. 查看管理评审记录,检查最高管理者是否参与。

ISO/IEC 27001:2013标准解读(7)正文 5 领导/5.1 领导和承诺