1、ISO27001標準“5.1 管理承諾”理解要點
建立、實施、保持和持續改進ISO27001信息安全管理體系,應是組織出于業務運營的需要作出的一項戰略決策,因此建立、實施、保持和持續改進信息安全管理體系首先需要管理者作出承諾。標準本條款提出了管理者應承諾的職責。
此條文中的“管理者”,指在確定的ISO27001信息安全管理體系范圍內的信息安全事項具有決策權的執行最高管理者。根據組織的具體管理模式不同,該“管理者”可以是一個人,也可以是一組人。
管理者履行其承諾的方式,主要在于指派和批準信息安全的相關角色及其職責和權限,為相應信息安全管理活動的展開提供資源支持。同時,管理者應承擔制定ISMS方針和實施管理評審的具體職責。
為確保有關信息安全的管理決策的合理性,管理者應建立適宜的機制,確保其決策過程能夠獲得全面、完整、真實的信息輸入,特別是在決定接受風險的準則和批準可接受風險時。
2、ISO27001標準“5.2 資源管理”理解
(1)“5.2.1 資源提供”理解要點標準本條款提出了確定和提供資源的意圖和方向。組織應合理判斷資源需求并針對組織信息安全風險的影響,采取措施提供所需的資源。
(2)“5.2.2 培訓、意識和能力”理解要點人力資源管理的核心宗旨是使所有承擔影響信息安全職責的人員能夠勝任其工作,包括直接影響和間接影響的人員,例如負責信息系統運維和審計的人員、負責含有信息的介質備份的人員、負責信息安全管理體系審核的人員等。
使人員具備相應的能力,無論采取哪一種措施,組織應有一個有效的機制來評價所采取措施的有效性,即采取的措施是否已達到預期的目的。
組織應保持相關人員的教育、培訓、技能、經歷和資格的記錄,記錄中的信息應足以說明人員能力是否能夠滿足相應崗位的信息安全要求。
另一方面,讓相關人員具體了解組織有關信息安全違規的紀律和處罰制度也是必要的。
共有條評論 網友評論