常见问题&知识园地
一、引言
引言部分包含了两个条款,即0.1总则、0.2与其他管理体系标准的兼容性。
0.1 总则
【内容解析】
建立、实施、运行、监视、评审、保持和改进ISO27001信息安全管理体系,应该是一个组织整体经营战略 的一部分,是从信息安全方面实现组织经营宗旨的有效途径之一。也就是说,通过ISO27001信息安全管理体系的有效运行来支持组织经营战略的实现,是建立、实施、运行、监视、评审、保持和改进ISO27001信息安全管 理体系的根本目的,因此,脱离了组织的经营宗旨和经营环境谈信息安全是没有意义的。
而本ISO27001标准则给出了信息安全管理体系的基本要求,为信息安全管理体系的建立、实施、运行、监视、评审、保持和改进提供了一个有用的模型。
从组织经营风险的角度考虑,绝对安全的完美制度既无必要,也不可实现。系统地管理信息安全,并不意味 着建立一套绝对安全的完美制度,而应将信息安全管理体系的建立、实施、运行、监视、评审、保持和改进作 为一个管理方法论,应用于组织信息安全的系统性管理,设计一套适合于组织特点和具体需求的信息安全管理解决方案。
本标准提出的信息安全管理要求框架,可以作为组织内部和外部信息安全管理一致性评估的依据,为组织发 现改进其信息安全管理绩效的机会。也就是说GB/T22080-2016(ISO27001)可作为第一方审核、第二方审核 和第三方审核的依据。
内部和外部信息安全管理体系一致性评估的实例包括:
1)组织基于改进其信息安全管理绩效的需要,由组织自己或其代表实施的内部信息安全管理体系审核;
2)组织的顾客基于招标或评价其合作伙伴信息安全管理绩效的需要,由顾客或其代表对组织信息安全管理 体系实施的审核;
3)第三方机构基于认证的目的,对组织信息安全管理体系实施的审核。
0.2 与其他管理体系标准的兼容性
【内容解析】
为满足持续业务运营的要求,组织可能将管理体系方法论用于多个领域的管理,包括以产品和服务质量满足 要求为核心目的的ISO9001质量管理体系、以污染物的产生和排放满足环境管理要求为核心目的的环境管理体系,以及以信息资产的安全满足要求为核心目的的信息安全管理体系。
无论哪一种管理体系的运行,客观上都是和组织的业务过程及相关支持过程伴生的,这就为多种管理体系的 相互融合和兼容提供了现实可行性。
例如,在某些种类的IC卡制造业,制卡过程的废品率是质量管理必须考虑的内容,废品的产生以及处置则是 ISO14001环境管理关注的要素,而信息安全管理则需要确保废品卡作为含有敏感信息的介质,只能按照指定的方式和渠道予以处置。一个经过良好设计的管理体系规程,应能够保证在制造过程控制中质量管理、环境管理和 信息安全管理的要求同时得到满足。
以融合各管理体系要求的方式设计信息安全管理体系的另一个好处,可以使实施和维护管理体系所需的资源 得到最有效率的使用,从而在一定程度上可减少因运行不同管理体系造成的机构重叠和管理官僚化,也可减少业务过程中的执行人员不得不分别理解不同管理体系的要求带来的混乱。
关注卓越空间
关注卓越微博
关注卓越微信