| ISO/IEC 27001: 2022标准 正文 7 Support 支持/7.1 Resources 资源 |
7.1 Resources 资源 The organization shall determine and provide the resources needed for the establishment, implementation, maintenance and continual improvement of the information security management system. 组织应确定并提供建立、实现、维护和持续改进信息安全管理体系所需的资源。 |
| ISO/IEC 27001:2013标准 正文 7 支持/7.1 资源 |
7.1 资源 组织应确定并提供建立、实现、维护和持续改进信息安全管理体系所需的资源。 |
标准解析:
- 本条款(ISO/IEC 27001: 2022)条文没有变化,与ISO/IEC 27001:2013一样。
- 7.1条款文字描述很简单,但其所涵盖的内容其实很多,要想要理解这个条款最好的方式是参照ISO 9001:2015标准。在ISO 9001:2015标准中的7.1条款下面分了几个子条款从不同的方面,描述了实施和维护体系所需的具体资源;
- 参照ISO 9001:2015条款,我们清晰的知道,要建立、实现、维护和持续改进信息安全管理体系,需要提供以下资源:(1)人力资源;(2)基础设施;(3)工作环境等;
- 人力资源:组织应确定实施信息安全管理体系所需的人力资源,并结合5.3和7.2明确人员职责、能力和技能等;
- 基础设施,如机房,厂区,信息系统,安全软件,水电,消防设施等;
- 工作环境,包含社会因素(如非歧视),心里因素(减压、过度疲劳),物理因素(温度、湿度等);
- 实施本条款可以形成书面的程序文件,如《信息安全规划管理程序》,也可以不形成书面的程序文件,但必须要有书面的证据表明为信息安全管理体系的建立、实现、维护和持续改进提供了所必须的资源。
实施本条款应输出的文档:
- 《信息安全规划管理程序》(可选,非必须);
- 信息安全岗位任职资格材料;
- 信息安全相关的基础设施清单,如安全软件清单,安全设备清单等;
- 信息安全规划资料;
- 信息安全年度预算。
本条款审核要点:
- 是否能够提供信息安全年度预算及财务支付凭证;
- 是否能够提供信息安全规划资料,其中是否包括所需相关资源;
- 是否配备充足的人力资源,能够提供信息安全岗位清单及岗位任职资格材料;
- 信息安全相关的基础设施是否满足现有信息安全管理的需求,能够提供相关的清单,如安全软件清单,安全设备清单等。
