ISO/IEC 27001: 2022标准 正文 7 Support 支持/7.4 Communication 沟通

7.4 Communication 沟通

The organization shall determine the need for internal and external communications relevant to the information security management system including:
组织应确定与信息安全管理体系相关的内部和外部的沟通需求,包括:

a) on what to communicate;
a) 沟通什么;

b) when to communicate;
b) 何时沟通;

c) with whom to communicate;
c) 与谁沟通;

d) how to communicate.
d) 如何沟通。
ISO/IEC 27001:2013标准 正文 7 支持/7.4 沟通

7.4 沟通

组织应确定与信息安全管理体系相关的内部和外部的沟通需求,包括:

a) 沟通什么;
b) 何时沟通;
c) 与谁沟通;
d) 谁来沟通;
e) 影响沟通的过程。

标准解析

  1. 本条款(ISO/IEC 27001: 2022)与ISO/IEC 27001: 2013比较,有轻微的变化。新版将旧版的“d) 谁来沟通”变成了“d) 如何沟通”,并且删除了旧版本中的“e) 影响沟通的过程”。因此ISO/IEC 27001: 2022的7.4要求更为宽松,给了实施ISO/IEC 27001: 2022的组织更多自由发挥的空间。
  2. 本条款与附录A中的A.5.5和A.5.6属于信息安全沟通模块,可以与组织其他体系(如ISO 9001等)的沟通模块整合实施,因此本条款要求可以整合到组织原有的《沟通管理程序》中,也可以单独形成《信息安全沟通管理程序》;
  3. 《沟通管理程序》或《信息安全沟通管理程序》中,应明确信息安全沟通(包含内部和外部的沟通)的基本流程、沟通的职责划分、沟通基本事项、沟通的时机、沟通的对象、沟通方式等;
  4. 在确定沟通对象时,应确保所有影响信息安全的人员理解有效沟通的要求;
  5. 应形成书面的内外沟通事项清单,包含沟通的具体事项、沟通对象以及沟通时机和频率、沟通方式等;
  6. 外部沟通如:(1)外部供方和承包方;(2)顾客和(或)消费者;(3)立法和监管部门;(4)对信息安全管理体系的有效性或更新具有影响;(6)或将受其影响的其他组织;
  7. 内部沟通如:(1)组织的业务过程;(2)信息资产和重要信息资产;(3)组织各业务过程主要风险及处置措施;(4)工作场所、设施位置和周围环境;(5)能力和(或)职责及权限分配;(6)适用的法律法规要求(7)与信息安全破坏和控制措施有关的知识;(8)组织遵守的顾客、行业和其他要求;(9)内部员工个人信息;(10)来自外部相关方的有关问询和沟通;(11)表明与业务过程有关的信息安全破坏的抱怨和警示;(12)影响信息安全的其他条件。
  8. 沟通方式可以是:(1)会议;(2)电话;(3)电子邮件;(4)联络函等。

实施本条款应输出的文档:

  1. 《沟通管理程序》或《信息安全沟通管理程序》;
  2. 信息安全内部和外部沟通事项清单;
  3. 信息安全沟通记录,如电子邮件、联络函、会议记录等。

本条款审核要点:

  1. 审核《沟通管理程序》或《信息安全沟通管理程序》是否包含基本流程、沟通的职责划分、沟通基本事项、沟通的时机、沟通的对象、沟通方式等;
  2. 审核信息安全内部和外部沟通事项清单,检查是否包含沟通的具体事项、沟通对象以及沟通时机和频率、沟通方式等;
  3. 信息安全内部和外部沟通事项清单中的沟通事项是否有实施,可以查看相关沟通记录来验证。

ISO/IEC 27001:2013标准解读(17)正文 7 支持/7.4 沟通