ISO/IEC 27001: 2022标准 正文 7 Support 支持/7.4 Communication 沟通 |
7.4 Communication 沟通 The organization shall determine the need for internal and external communications relevant to the information security management system including: 组织应确定与信息安全管理体系相关的内部和外部的沟通需求,包括: a) on what to communicate; a) 沟通什么; b) when to communicate; b) 何时沟通; c) with whom to communicate; c) 与谁沟通; d) how to communicate. d) 如何沟通。 |
ISO/IEC 27001:2013标准 正文 7 支持/7.4 沟通 |
7.4 沟通 组织应确定与信息安全管理体系相关的内部和外部的沟通需求,包括: a) 沟通什么; b) 何时沟通; c) 与谁沟通; d) 谁来沟通; e) 影响沟通的过程。 |
标准解析:
- 本条款(ISO/IEC 27001: 2022)与ISO/IEC 27001: 2013比较,有轻微的变化。新版将旧版的“d) 谁来沟通”变成了“d) 如何沟通”,并且删除了旧版本中的“e) 影响沟通的过程”。因此ISO/IEC 27001: 2022的7.4要求更为宽松,给了实施ISO/IEC 27001: 2022的组织更多自由发挥的空间。
- 本条款与附录A中的A.5.5和A.5.6属于信息安全沟通模块,可以与组织其他体系(如ISO 9001等)的沟通模块整合实施,因此本条款要求可以整合到组织原有的《沟通管理程序》中,也可以单独形成《信息安全沟通管理程序》;
- 《沟通管理程序》或《信息安全沟通管理程序》中,应明确信息安全沟通(包含内部和外部的沟通)的基本流程、沟通的职责划分、沟通基本事项、沟通的时机、沟通的对象、沟通方式等;
- 在确定沟通对象时,应确保所有影响信息安全的人员理解有效沟通的要求;
- 应形成书面的内外沟通事项清单,包含沟通的具体事项、沟通对象以及沟通时机和频率、沟通方式等;
- 外部沟通如:(1)外部供方和承包方;(2)顾客和(或)消费者;(3)立法和监管部门;(4)对信息安全管理体系的有效性或更新具有影响;(6)或将受其影响的其他组织;
- 内部沟通如:(1)组织的业务过程;(2)信息资产和重要信息资产;(3)组织各业务过程主要风险及处置措施;(4)工作场所、设施位置和周围环境;(5)能力和(或)职责及权限分配;(6)适用的法律法规要求(7)与信息安全破坏和控制措施有关的知识;(8)组织遵守的顾客、行业和其他要求;(9)内部员工个人信息;(10)来自外部相关方的有关问询和沟通;(11)表明与业务过程有关的信息安全破坏的抱怨和警示;(12)影响信息安全的其他条件。
- 沟通方式可以是:(1)会议;(2)电话;(3)电子邮件;(4)联络函等。
实施本条款应输出的文档:
- 《沟通管理程序》或《信息安全沟通管理程序》;
- 信息安全内部和外部沟通事项清单;
- 信息安全沟通记录,如电子邮件、联络函、会议记录等。
本条款审核要点:
- 审核《沟通管理程序》或《信息安全沟通管理程序》是否包含基本流程、沟通的职责划分、沟通基本事项、沟通的时机、沟通的对象、沟通方式等;
- 审核信息安全内部和外部沟通事项清单,检查是否包含沟通的具体事项、沟通对象以及沟通时机和频率、沟通方式等;
- 信息安全内部和外部沟通事项清单中的沟通事项是否有实施,可以查看相关沟通记录来验证。