ISO27001认证体系领导和承诺解释与实施指导
与信息技术服务管理体系ISO20000认证体系一样,信息安全管理体系ISO27001认证体系也包含领导和承诺,如何理解领导和承诺呢?又该如何实施领导和承诺呢?下文摘要介绍仅供参考。
如何理解ISO27001认证体系领导和承诺?参考解释如下:
领导和承诺对于有效的ISMS信息安全管理体系ISO27001认证体系至关重要。
最高管理层(见ISO/IEC 27000)被定义为指导和控制ISMS-ISO27001认证体系最高层组织的个人或群体,即最高管理层对ISMS负总体责任,这意味着最高管理层指导ISMS与组织中的其他领域类似,比如分配和监控预算的方式,最高管理层可以代表组织的权力,为实际执行有关信息安全和ISMS的活动提供资源,但仍然保留总体责任。
例如,实施和运营ISMS的组织可以是更大组织内的业务单位。在这种情况下,最高管理层是指导和控制该业务部门的个人或群体。
最高管理层也参与管理评审(见9.3)和促进持续改进(见10.2)。
如何实施ISO27001认证体系领导和承诺?参考指导如下:
ISO27001认证体系最高管理层宜(should)通过以下方式提供领导和展示承诺:
a) ISO27001认证体系最高管理层宜(should)确保信息安全方针和信息安全目标的确立,并与组织的战略方向相一致;
b) 具有指定的流程责任人的组织可以将实施适用的要求的职责授权给这些个人或群体。克服组织改变过程和控制的阻力也可能(can)需要最高管理层的支持;
c) ISO27001认证体系最高管理层宜(should)确保有效的ISMS的资源的可用性。资源是ISMS的建立、及其实施、维护和改进,以及实施信息安全控制所需要的。ISMS所需的资源包括:
1) 财务资源; 2) 人员; 3) 设施; 和 4) 技术基础设施。
所需资源取决于组织的背景,如规模、复杂性以及内部和外部的要求。管理评审宜(should)提供信息指明资源对组织是否是充足的;、
d) ISO27001认证体系最高管理层宜(should)传达组织的信息安全管理需要以及符合ISMS要求的需要。这可以通过给出实际的例子来说明在组织背景下的实际需要是什么,以及通过传达信息安全要求来完成;
e) ISO27001认证体系最高管理层宜(should)通过支持所有信息安全管理过程的实施,特别是通过要求和审查ISMS的状态和有效性的报告来确保ISMS实现其预期结果(参见5.3b))。 这些报告可以从测量(见6.2 b)和9.1 a))、管理评审和审计报告中得出。最高层管理层可能还要为参与ISMS的关键人员设定绩效目标;
f) ISO27001认证体系最高管理层宜指导和支持组织内直接参与信息安全和ISMS的人员。如果不这样做,可能会对ISMS的有效性有负面影响。最高管理层的反馈可能包括计划的活动如何与组织的战略需求相一致,也可以为ISMS中的不同活动划分优先顺序;
g) ISO27001认证体系最高管理层宜在管理评审期间评估资源需求,并为持续改进和监视计划活动的有效性设定目标;和
h) ISO27001认证体系最高管理层宜支持已被分配涉及信息安全管理角色和责任的人员,以便他们有动力并能够指导和支持他们领域内的信息安全活动。
如果实施和运营ISMS的组织是一个更大的组织的一部分,领导和承诺可以通过接触控制和指导更大组织的人员或群体来改善。如果他们理解实施ISMS所涉及的内容,他们可以在ISMS范围内为最高管理层提供支持,并帮助他们提供领导力和证实对ISMS的承诺。例如,如果ISMS范围之外的相关方参与有关信息安全目标和风险准则的决策,并且保持对ISMS产生的信息安全结果的警觉,则他们关于资源分配的决定可以与ISMS的要求保持一致。
上述仅供实施ISO27001认证体系企业理解和实施参考。
