1、ISO27001標準“5.1 管理承諾”理解要點
建立、實施、保持和持續改進ISO27001信息安全管理體系,應是組織出于業務運營的需要作出的一項戰略決策,因此建立、實施、保持和持續改進信息安全管理體系首先需要管理者作出承諾。標準本條款提出了管理者應承諾的職責。
此條文中的“管理者”,指在確定的ISO27001信息安全管理體系范圍內的信息安全事項具有決策權的執行最高管理者。根據組織的具體管理模式不同,該“管理者”可以是一個人,也可以是一組人。
管理者履行其承諾的方式,主要在于指派和批準信息安全的相關角色及其職責和權限,為相應信息安全管理活動的展開提供資源支持。同時,管理者應承擔制定ISMS方針和實施管理評審的具體職責。
為確保有關信息安全的管理決策的合理性,管理者應建立適宜的機制,確保其決策過程能夠獲得全面、完整、真實的信息輸入,特別是在決定接受風險的準則和批準可接受風險時。
2、ISO27001標準“5.2 資源管理”理解
(1)“5.2.1 資源提供”理解要點標準本條款提出了確定和提供資源的意圖和方向。組織應合理判斷資源需求并針對組織信息安全風險的影響,采取措施提供所需的資源。
(2)“5.2.2 培訓、意識和能力”理解要點人力資源管理的核心宗旨是使所有承擔影響信息安全職責的人員能夠勝任其工作,包括直接影響和間接影響的人員,例如負責信息系統運維和審計的人員、負責含有信息的介質備份的人員、負責信息安全管理體系審核的人員等。
使人員具備相應的能力,無論采取哪一種措施,組織應有一個有效的機制來評價所采取措施的有效性,即采取的措施是否已達到預期的目的。
組織應保持相關人員的教育、培訓、技能、經歷和資格的記錄,記錄中的信息應足以說明人員能力是否能夠滿足相應崗位的信息安全要求。
另一方面,讓相關人員具體了解組織有關信息安全違規的紀律和處罰制度也是必要的。
中企檢測認證網提供iso體系認證機構查詢,檢驗檢測、認證認可、資質資格、計量校準、知識產權貫標一站式行業企業服務平臺。中企檢測認證網為檢測行業相關檢驗、檢測、認證、計量、校準機構,儀器設備、耗材、配件、試劑、標準品供應商,法規咨詢、標準服務、實驗室軟件提供商提供包括品牌宣傳、產品展示、技術交流、新品推薦等全方位推廣服務。這個問題就給大家解答到這里了,如還需要了解更多專業性問題可以撥打中企檢測認證網在線客服13550333441。為您提供全面檢測、認證、商標、專利、知識產權、版權法律法規知識資訊,包括商標注冊、食品檢測、第三方檢測機構、網絡信息技術檢測、環境檢測、管理體系認證、服務體系認證、產品認證、版權登記、專利申請、知識產權、檢測法、認證標準等信息,中企檢測認證網為檢測認證商標專利從業者提供多種檢測、認證、知識產權、版權、商標、專利的轉讓代理查詢法律法規,咨詢輔導等知識。
本文內容整合網站:百度百科、搜狗百科、360百科、知乎、市場監督總局 、國家認證認可監督管理委員會、質量認證中心
免責聲明:本文部分內容根據網絡信息整理,文章版權歸原作者所有。向原作者致敬!發布旨在積善利他,如涉及作品內容、版權和其它問題,請跟我們聯系刪除并致歉!
