ISO/IEC 27001: 2022标准 正文 6 Planning 策划/6.3 Planning of changes 变更的策划

6.3 Planning of changes 变更的策划

When the organization determines the need for changes to the information security management system, the changes shall be carried out in a planned manner.
当组织确定需要对信息安全管理体系进行变更时,变更应按所策划的方式实施。

标准解析:

  1. 本条款是新版中新增的条款,在ISO/IEC 27001: 2013版正文中,没有相关变更的条款,但在附录中有变更条款,所以对于体系实施来说,并不是新要求。
  2. 本条款可以与附录A.8.32结合实施,形成《信息安全变更管理程序》。
  3. 当信息安全组织、流程、职责、信息处理设施发生变更时,应提前策划变更方案,方案应进行评审。
  4. 变更前,也应进行授权批准,实施变更时,应按照变更策划的方案实施。
  5. 对于信息处理设施的变更,应提前按照变更方案进行测试,测试后对测试结果进行评审,无风险后方进行正式的变更。

实施本条款应输出的文档

  1. 《信息安全变更管理程序》。
  2. 变更方案、变更方案评审记录。
  3. 变更申请、授权批准记录。
  4. 变更测试记录。
  5. 正式变更记录。

本条款审核要点:

  1. 审核《信息安全变更管理程序》中,变更类型、流程和职责是否明确。
  2. 审核变更方案、变更方案评审记录,实际变更是否按照策划方案执行。