| 5 | Organizational controls 组织控制(ISO/IEC 27001: 2022 附录A) | |
| 5.2 | Information security roles and responsibilities 信息安全角色和职责 | Control 控制 Information security roles and responsibilities shall be defined and allocated according to the organization needs. 应依据组织需求定义信息安全职责和角色。 |
| 5.3 | Segregation of duties 职责分离 | Control 控制 Conflicting duties and conflicting areas of responsibility shall be segregated. 应分离冲突的职责及其责任范围。 |
| 5.4 | Management responsibilities 管理职责 | Control 控制 Management shall require all personnel to apply information security in accordance with the established information security policy, topic-specific policies and procedures of the organization. 管理者应要求所有员工按照组织已建立的策略、特定主题的策略和规程应用信息安全。 |
| 5.5 | Contact with authorities 与职能机构的联系 | Control 控制 The organization shall establish and maintain contact with relevant authorities. 组织应建立和维护与相关职能机构的联系。 |
| 5.6 | Contact with special interest Groups 与特殊利益团的联系 | Control 控制 The organization shall establish and maintain contact with special interest groups or other specialist security forums and professional associations. 组织应建立和维护与特殊利益团,或其他专业安全论坛和专业协会的联系。 |
| A.6 信息安全组织(ISO/IEC 27001: 2013附录A) | ||
| A.6.1 内部组织 | ||
| 目标:建立一个管理框架,以启动和控制组织内信息安全的实现和运行。 | ||
| A.6.1.1 | 信息安全的角色和责任 | 控制 所有的信息安全责任应予以定义和分配。 |
| A.6.1.2 | 职责分离 | 控制 应分离冲突的职责及其责任范围,以减少未授权或无意的修改或者不当使用组织资产的机会。 |
| A.6.1.3 | 与职能机构的联系 | 控制 应维护与相关职能机构的适当联系。 |
| A.6.1.4 | 与特定相关方的联系 | 控制 应维护与特定相关方、其他专业安全论坛和专业协会的适当联系。 |
| A.7 人力资源安全(ISO/IEC 27001: 2013附录A) | ||
| A.7.2 任用中 | ||
| 目标:确保员工和合同方意识到并履行其信息安全责任。 | ||
| A.7.2.1 | 管理责任 | 控制 管理者应宜要求所有员工和合同方按照组织已建立的策略和规程应用信息安全。 |
控制解析:
- 新版的A.5.2 & A.5.3 & A.5.4 & A.5.5 & A.5.6这几个控制项,都能在ISO/IEC 27001: 2013附录A中找到相应的控制项,虽然有些控制要求描述稍微有变化,其实内涵没有变,所以在实施新版以上控制项时,无需做特别的变更。
- A.5.2 & A.5.3 & A.5.4,这几个控制项属于信息安全组织与职责范畴,与正文“5.3 组织的角色,责任和权限”是遥相呼应的关系。
- 正文“5.3 组织的角色,责任和权限”要求的东西相对层次较高,例如,建立信息安全管理委员会,明确信息安全管理部门和各部门信息安全职责,任命管理者代表等。而这几个控制项则偏向于较低层次的东西(具体信息安全控制措施的职责),例如各个信息资产的管理职责,具体控制措施的执行部门或责任人等。
- 在明确信息安全职责时,应做到职责分离,如账户和权限的申请人、审批人、和操作者不能是同一人,必须是不同的人。
- 各层级管理人员应通过各种方式要求其所管理的人员(包含外部人员)遵守组织的信息安全策略。
- A.5.5和A.5.6,可以结合正文“7.4 沟通”一起实施,可以作为外部沟通的具体事项。A.5.5沟通的对象是与信息安全有关的执法部门、法规部门、监管部门等。A.5.6沟通对象是与信息安全相关的特定相关方、其他专业安全论坛和专业协会。
实施本控制应输出的文档:
- 《信息安全组织管理程序》《信息安全沟通管理程序》。
- 岗位说明书。
- 信息安全管理规范和流程,以及相关运行记录。
- 外部沟通清单以及沟通记录。
- 要求组织(或部门)人员(包含外部人员)遵守组织的信息安全策略的培训或沟通记录。
本控制审核要点:
- 抽查信息安全重点岗位的岗位说明书,看是否有相关信息安全职责,职责是否与实际情况一致。
- 抽查部分信息安全流程,如账户与权限申请流程以及申请记录,检查是否符合职责分离要求。
- 检查外部沟通情况,是否有沟通清单和沟通记录。
- 抽查各级管理人员要求组织(或部门)人员(包含外部人员)遵守组织的信息安全策略的培训或沟通记录。
