ISO/IEC 27001: 2022标准 正文 6 Planning 策划/6.2 Information security objectives and planning to achieve them 信息安全目标及其实现策划

6.2 Information security objectives and planning to achieve them 信息安全目标及其实现策划

The organization shall establish information security objectives at relevant functions and levels.
组织应在相关职能和层级上建立信息安全目标。

The information security objectives shall:
信息安全目标应:

a) be consistent with the information security policy;
a) 与信息安全方针一致;

b) be measurable (if practicable);
b) 可测量(如可行);

c) take into account applicable information security requirements, and results from risk assessment and risk treatment;
c) 考虑适用的信息安全要求,以及风险评估和风险处置的结果;

d) be monitored;
d) 予以监视;

e) be communicated;
e) 予以沟通;

f) be updated as appropriate;
f) 适时更新;

g) be available as documented information.
g) 形成文件化信息并可用。

The organization shall retain documented information on the information security objectives.
组织应保留有关信息安全目标的文件化信息。

When planning how to achieve its information security objectives, the organization shall determine:
在策划如何达到信息安全目标时,组织应确定:

h) what will be done;
h) 要做什么;

i) what resources will be required;
i) 需要什么资源;

j) who will be responsible;
j) 由谁负责;

k) when it will be completed; and
k) 什么时候完成;

l) how the results will be evaluated.
l) 如何评价结果。
ISO/IEC 27001:2013标准 正文 6 规划/6.2 信息安全目标及其实现规划

6.2 信息安全目标及其实现规划

组织应在相关职能和层级上建立信息安全目标。

信息安全目标应:

a) 与信息安全方针一致;

b) 可测量(如可行);

c) 考虑适用的信息安全要求,以及风险评估和风险处置的结果;

d) 得到沟通;

e) 适当时更新。

组织应保留有关信息安全目标的文件化信息。

在规划如何达到信息安全目标时,组织应确定:

f) 要做什么;

g) 需要什么资源;

h) 由谁负责;

i) 什么时候完成;

j) 如何评价结果。

标准解析

  1. 本条款(ISO/IEC 27001: 2022)条文有轻微变化,增加了“d) 予以监视”和“g) 形成文件化信息并可用”,然后编号做了顺延,新版只是把目标需要监视和形成文件化的信息要求更加明确了,虽然在ISO/IEC 27001: 2013没有这两条文,但是依旧要对目标进行监视和将目标形成文件化信息。因此在在实施ISO/IEC 27001: 2022中6.2的时候,不用做相关变更。
  2. 应按照本条款的要求,建立书面的《信息安全目标管理程序》;
  3. 《信息安全目标管理程序》应明确:(1)公司哪些层级应建立信息安全目标,一般至少包括公司总目标和各一级部门目标,后续可以逐步将目标分解,最终分解到岗位;(2)相关层级(如公司、部门)目标由谁制定;(3)制定的目标由谁评审,多久评审一次;(4)如何追踪目标达成效果;(5)目标制定时,应满足的要求,如本条款中a)~g)的要求;(6)目标需要有实现方案,方案包括措施、投入资源、负责人、计划完成时间、结果评价方案等。
  4. 本条款需要输出,书面的公司信息安全目标,各部门信息安全分解目标,以及目标达成情况统计记录,如果有目标未达成,需要提供分析和改进记录。
  5. 很多企业在做信息安全管理体系时,由于是找咨询机构的做的,很多企业在实施这个条款的时候,只有公司目标,没有把公司目标分解到部门。如果对质量管理体系(ISO 9001)熟悉的话,在实施这个条款的时候,相对就很好理解。

实施本条款应输出的文档

  1. 《信息安全目标管理程序》;
  2. 公司信息安全目标和部门信息安全分目标;
  3. 信息安全目标实现方案;
  4. 信息安全目标统计记录及分析改善方案;
  5. 信息安全目标评审记录。

本条款审核要点:

  1. 是否按照条款要求,建立了书面的《信息安全目标管理程序》;
  2. 是否有制定公司信息安全目标和部门信息安全分目标;
  3. 是否有制定信息安全目标实现方案;
  4. 是否有定期对信息安全目标进行评审,并提供评审记录;
  5. 是否有对信息安全目标进行统计,是否有未达成的目标,是否有对未达成的目标进行分析和提出改善方案。

ISO/IEC 27001:2013标准解读(13)正文 6 规划/6.2 信息安全目标及其实现规划