ISO∕IEC 27001-2022《信息安全、网络安全和隐私保护-信息安全管理体系-要求》“第7章 支持”解读和应用指导材料（雷泽佳编制2024）

ISO/IEC27001:2022“第7章：支持”解读和应用指导材料ISO/IEC27001:2022《信息安全、网络安全和隐私保护-信息安全管理体系-要求》“第7章：支持”解读和应用指导材料支持资源资源类型与基础定义资源是执行任何类型活动的基础：有充足的资源，活动的执行可能会受到阻碍或无法达到预期的效果；资源类型，包括：人员：指的是那些推动和执行活动的人员，他们的技能、知识和经验对于活动的成功至关重要。时间：这里涉及两个层面的时间资源，一是活动的执行时间，即完成活动所需的时间；二是在采取新步骤前，使结果稳定下来的时间，这段时间对于评估活动效果、调整策略非常关键。财务资源：包括采购、开发和实现活动所需的资金，是确保活动顺利进行的经济基础。信息：信息在支持决策和评价活动绩效方面发挥着重要作用，同时也有助于提高知识水平。基础设施和其他手段：这包括获取或建立的基础设施，如技术、工具和材料，无论它们是否是信息技术产品，都是活动执行中不可或缺的支持元素。信息安全管理资源清单示例类别具体资源功能或胜任描述人员资源信息安全管理团队信息安全主管、安全工程师、安全分析师等负责规划、执行和监督企业的信息安全管理工作培训与教育全体员工的信息安全意识和技能培训确保员工了解并遵循信息安全政策和标准时间资源信息安全项目时间表项目启动、执行、监控和结束等阶段的时间安排为每个信息安全项目或活动制定详细的时间规划安全事件响应时间设定对安全事件的响应时间要求确保在发生安全事件时能够迅速响应并采取措施财务资源信息安全预算年度信息安全预算用于采购安全设备、软件、服务以及支付相关费用安全投入与效益分析对信息安全投入进行效益分析确保投入与企业的信息安全需求相匹配信息资源安全策略与标准文档信息安全策略、标准和操作指南等文档为员工提供明确的安全指导安全事件日志与报告安全事件日志的收集、分析和存储，定期生成安全报告支持安全决策和持续改进基础设施和其他手段安全防护设备防火墙、入侵检测系统（IDS）、安全信息与事件管理（SIEM）系统等保护企业网络免受外部威胁加密与身份认证技术加密技术、身份认证技术确保敏感数据的安全性和只有授权人员的访问软件安全工具漏洞扫描工具、恶意软件防护工具等确保企业使用的软件系统的安全性物理安全措施监控摄像头、门禁系统等对重要服务器和设备进行物理加固，防止未经授权的访问和破坏ISMS资源的确定与调整ISMS资源的确定；组织有责任确定并提供建立、实施、保持和持续改进信息安全管理体系（ISMS）所需的各类资源；这些资源的配置应当与ISMS的实际需求相匹配，确保资源的充足性和合理性。ISMS资源的调整。随着ISMS的运行和发展，组织应当对资源进行适时的调整，以响应内外部环境的变化和ISMS需求的变化；资源的调整可能包括增加、减少或重新分配人员、时间、财务、信息、基础设施等资源，以确保ISMS的持续有效性和适应性。组织在资源管理方面的责任组织应：估算与ISMS有关的所有活动所需的资源的数量和质量（容量和能力）：组织需要负责估算与信息安全管理体系（ISMS）相关的所有活动所需的资源，这包括资源的数量和质量（如容量和能力）的评估，以确保资源的充足和适用性。获取所需资源：组织应负责获取这些所需的资源，这可能涉及采购、租赁、内部调配等多种方式，以确保资源的及时到位。维护整个ISMS流程和特定活动的资源：在获取资源后，组织还需负责提供这些资源给到相应的部门或人员，确保资源的合理分配和有效利用。根据ISMS的需求评审提供的资源，并根据需要进行调整：组织应维护整个ISMS流程和特定活动的资源，包括资源的更新、维护、保养等，以确保资源的持续可用性和稳定性；组织还需定期根据ISMS的需求评审已提供的资源，并根据实际情况进行必要的调整，如增加、减少或替换资源，以保持资源的优化配置和满足ISMS的动态需求。能力能力的定义与分类能力的定义及其影响因素能力是指个人或团队运用所掌握的知识和技能，以实现预期结果的本领；能力的大小受到知识、经验和智慧等多重因素的影响。能力的分类：特定与通用。从类型上来看，能力可以划分为特定能力和通用能力。特定能力通常针对某一具体领域或技术，如风险管理等专门技能；通用能力则更加宽泛，包括诸如软技能（如沟通技巧、团队协作等）、可信赖性（如诚信、责任心等），以及基本的技术和管理方面的知识。组织内的能力管理范围与机制。对于组织而言，能力管理不仅关乎内部员工，还可能涉及在组织控制下工作的其他人员，如承包商、顾问等。因此，组织应建立相应的机制，必要时对这些人员的能力进行有效地评估和管理，以确保他们的工作能够满足组织的需求和期望。类别适当的教育培训要求经验要求信息安全管理人员信息安全、计算机科学或相关专业学位信息安全管理体系培训、风险管理培训在信息安全领域有数年工作经验IT技术支持与维护人员计算机科学、IT支持或相关专业学位/证书系统和网络安全培训、应急响应培训在IT支持或系统管理领域有工作经验开发人员与程序员计算机科学、软件开发或相关专业学位安全编码实践培训、应用程序安全培训在软件开发领域有工作经验，了解安全开发流程运营与维护人员计算机科学、IT运维或相关专业学位/证书IT服务管理培训、灾难恢复培训在IT运维或数据中心运营领域有工作经验业务与管理人员商业管理、项目管理或相关学位信息安全意识培训、项目管理培训在相关业务或管理领域有工作经验，了解信息安全对业务的影响物理安全人员安全管理、物理安全或相关专业学位/证书物理安全措施培训、应急响应培训在安全或设施管理领域有工作经验第三方服务供应商与合作伙伴与所提供服务相关的专业学位/证书信息安全标准与合规性培训在相关服务领域有工作经验，了解信息安全要求用户与终端用户基本计算机知识信息安全意识培训、防钓鱼和社交工程培训使用组织信息系统的基本经验合规与审计人员法律、审计或相关专业学位信息安全法规与标准培训、审计方法培训在合规或审计领域有工作经验，了解信息安全法规和最佳实践应急响应与灾难恢复团队计算机科学、信息安全或相关专业学位应急响应计划培训、灾难恢复演练培训在应急响应或灾难恢复领域有工作经验，熟悉应急响应流程和工具能力的确定、获取与提升能力的确定；组织需要明确哪些工作人员从事的工作会对组织的信息安全绩效产生影响，并确定这些人员所需具备的必要能力；这些必要能力应当被确定是否需要进行文件化记录，例如通过工作描述等方式来明确。能力的获取；组织应确保这些关键人员通过适当的教育、培训或经验积累来达到胜任工作的水平；为了提升或获得必要的能力，组织应识别、策划并实施一系列措施，如提供培训课程、研讨会、专业指导等；对于某些特定或短期活动所需的能力，组织可以选择雇用或合同聘用已验证其能力的外部人员来补充。能力的验证与提升；组织应对所采取的措施进行有效性评估，例如通过考核培训后人员的能力水平，分析新入职人员的能力状况，以及验证外部资源获取计划是否完成；组织需要验证人员是否胜任其被分配的角色，确保他们具备执行任务所需的能力；随着时间的推移和期望的变化，组织应确保人员的能力得到持续地发展和更新，以满足当前和未来的需求。保留适当的成文信息组织需要保留适当的书面信息，这些信息能够作为证明人员具备必要能力的证据；这些书面信息应涵盖那些对信息安全绩效有直接影响的人员所必需的能力；除了记录必要能力外，组织还应文档化相关人员是如何满足这些能力要求的，包括他们的培训记录、资格认证、工作经验等；通过保留这些成文信息，组织可以确保其信息安全管理体系中的人员能力得到充分地验证和记录，从而满足ISO/IEC27001:2022标准的要求。意识总则意识是指组织控制下工作的人员对信息安全期望的理解和动机；意识关注的是人员应知道、理解、接受并：人员需要知道、理解、接受并支持信息安全方针中规定的目标；人员应遵守规则，正确执行日常任务以维护信息安全。在组织控制下工作的人员应知晓：知晓信息安全方针：人员应知道组织存在信息安全方针，并了解如何获取该方针；并非所有员工都需要详细了解方针的具体内容，但应知晓、理解、接受并实现基于方针制定的、影响他们工作角色的信息安全目标和要求；这些信息安全目标和要求可能包含在员工预期要执行的标准或程序中，以完成其工作任务。他们对ISMS有效性的贡献：人员需要了解他们的工作如何对信息安全管理体系（ISMS）的有效性做出贡献；这包括理解改进信息安全绩效所带来的益处，以及认识到不符合ISMS要求可能产生的负面影响。不符合信息安全管理体系要求带来的后果：在组织控制下工作的人员必须知道、理解和接受不符合ISMS要求的严重后果；这种不符合可能对组织的信息安全造成直接威胁，并可能影响人员对安全事件的响应能力。组织在信息安全意识和培训方面的策划与准备组织应：组织应为每个受众（如内部和外部人员）准备特定的信息安全意识和培训项目；在策划和准备过程中，组织应将信息安全的需求和期望融入其他相关主题的意识和培训材料中，确保信息安全与实际运营环境紧密结合；组织应制定定期沟通信息安全的策划，以保持信息安全的持续关注和更新；在意识培训后或培训期间，组织应随机验证人员对信息安全消息的知悉和理解情况，确保培训效果；组织还应验证人员是否按照所沟通的信息安全要求执行，并通过正反两面的行为举例来强化信息安全意识。沟通沟通需求与重要性的确认：组织需要明确与信息安全管理体系（ISMS）相关的内部和外部沟通需求，这是确保信息安全管理体系有效运行的重要环节；沟通的必要性；沟通被视为ISMS的关键组成部分，对于确保信息安全至关重要；组织必须与内部和外部相关方进行充分的沟通，以便及时传递信息、协调行动并共同应对信息安全挑战；参照4.2章节，可以进一步理解与相关方进行有效沟通的重要性和方法；沟通的多样性与多向性；沟通具有多样性和多向性，可以在组织内部的各个层面进行，包括不同部门、层级之间的纵向和横向沟通；同时，沟通也可以在组织与外部相关方之间进行，如客户、供应商、合作伙伴等，形成内外联动的沟通网络；沟通可以由组织内部发起，也可以由外部相关方发起，体现了沟通的双向性和互动性。沟通的策划：组织应精心策划沟通活动，明确沟通的内容、时间、目标受众以及发起人；沟通什么：沟通内容应涵盖信息安全方针、目标、程序、变更等重要信息，以及对信息安全风险的了解、对供方的要求和信息安全绩效的反馈等；何时沟通：确定沟通的最佳时间点，以确保信息的及时传递和接收方的有效响应；与谁沟通：明确每次沟通活动的目标受众是谁，以便更好地定制沟通内容和方式；—谁来沟通：确定由谁来发起沟通，特定内容可能需要具备特定知识或权威的人员或组织来负责传递；识别哪些过程在推动或发起沟通活动，以及哪些过程是受沟通活动影响的，有助于优化沟通流程和效果。沟通的灵活性与方式；沟通具有灵活性，可以根据需要定期进行，也可以随时进行，以适应不断变化的信息安全环境；沟通方式可以是主动的，如组织发起的培训、会议或通知；也可以是被动的，如响应外部相关方的询问或请求；灵活多样的沟通方式有助于更好地满足内外部相关方的需求，提高沟通效果。沟通过程、渠道和协议的选择；组织应合理选择沟通过程、渠道和协议，以确保信息的完整接收、正确理解和有效传递；沟通过程应明确、简洁且高效，避免信息在传递过程中产生歧义或遗漏；沟通渠道可以包括面对面交流、电话、电子邮件、即时通讯工具等多种形式，应根据实际情况选择最合适的渠道；必要时，可以制定书面沟通协议，明确双方的责任和期望，以确保沟通的有效性和可追溯性；所选择的沟通方式应能够促使接收方采取适当的行动或措施，以响应传递的信息并共同维护信息安全。沟通内容的合理选择；组织在沟通时，应合理选择沟通内容，确保信息的完整接收和正确理解，以便相关方能够采取适当措施；沟通内容可能包括风险管理计划和结果、信息安全目标、实现的信息安全目标、事件或危机情况、角色责任和权限、ISMS过程要求的信息、ISMS的变更、控制和过程的评审发现、与监管机构的沟通事项以及外部相关方的请求等。沟通要求的确定；组织应明确沟通的要求，包括由谁进行内部和外部沟通，并分配适当的权限给特定角色；沟通可能是触发式的或定期的，例如发现事件时触发沟通；应基于高级影响场景为关键相关方准备消息内容，并作为沟通计划、事件响应计划或业务连续性计划的一部分；要确定沟通内容的预期接收者，并在某些情况下保留清单；沟通方式和渠道应专门选择，以确保信息的正式性和权限适当性，同时满足保密性和完整性保护需求；应设计过程和方法，以确保消息已发送并被正确接收和理解。沟通的分类和处理：根据组织的要求，对沟通进行分类和处理，以确保沟通的有效性和效率；保留成文信息：组织应保留关于沟通活动的成文信息，但仅当这种保留对管理体系的有效性是必要和明确的形式和程度要求时，才是强制性的。这有助于确保沟通活动的可追溯性和持续改进。成文信息总则信息安全管理体系（ISMS）的文件化要求组织的信息安全管理体系应包括：强制性成文信息。组织所确定的、为确保其ISMS有效性所必需的成文信息：为确保ISMS有效性而由组织自行确定的其他必要的成文信息，以确保ISMS的有效运行。组织确定的成文信息：组织应根据自身情况，确定并创建其他对ISMS有效性至关重要的成文信息。这些信息可能涉及组织的特定环境、角色和责任分配、风险管理活动的结果、资源分配、预期能力、意识与沟通活动的计划和结果等。例如：环境建立结果（见第4章）；角色、责任和权限（见第5章）；不同阶段的风险管理报告（见第6章）；确定和提供的资源（见7.1）；预期能力（见7.2）；意识活动的计划和结果（见7.3）；沟通活动的计划和结果（见7.4）；ISMS必需的外部来源的成文信息（见7.5.3）；控制成文信息的过程（见7.5.3）；指导和运行信息安全活动的方针、规则和指令；用于实现、维护和改进ISMS和总体信息安全状态的过程和规程（见第9章）；措施计划；ISMS过程结果的证据（如事件管理、访问控制、信息安全连续性、设备维护等）。ISMS运行支持：所有成文信息，无论是强制性的还是组织自行确定的，都应该旨在支持ISMS的有效运行。这包括提供指导和运行信息安全活动的方针、规则和指令，以及用于实现、维护和改进ISMS的过程和规程；绩效评价：成文信息还应包含足够的信息，以支持对ISMS绩效的评价。这可能涉及措施计划的执行情况、ISMS过程结果的证据（如事件管理记录、访问控制日志、信息安全连续性计划执行情况、设备维护记录等）；实用性和关键性：所有成文信息都应该符合其目的，即它们应该是实际需要的，并包含“关键”信息，以确保相关人员能够快速准确地获取和使用这些信息。组织特定因素：不同组织的ISMS成文信息的详略程度可能有所不同。这主要取决于组织的规模、活动、过程、产品和服务的类型，以及过程的复杂性和人员的能力等因素。因此，组织在创建和维护ISMS成文信息时，需要充分考虑这些因素，以确保信息的适用性和有效性。成文信息的数量和来源数量与组织规模的关系：所需成文信息的数量通常与组织的规模密切相关。这意味着，随着组织规模的增大，为了有效管理和控制信息安全，所需的成文信息量也会相应增加；规模较大的组织由于其业务、过程和系统的复杂性，通常需要更多的成文信息来详细规定和指导ISMS的各个方面，以确保其一致、有效地运行。成文信息的来源：成文信息可以来自组织内部。这包括组织制定的政策文件、过程文档，以及各种记录（如会议纪要、审核报告、监控日志等）。这些内部生成的成文信息是ISMS实施和运行的直接产物，反映了组织的特定需求和环境；成文信息也可以来源于组织外部。外部来源包括但不限于法律法规（如数据保护法、隐私法等）、行业标准（如ISO/IEC系列标准），以及业界公认的最佳实践。这些外部成文信息为组织提供了构建和维护ISMS的法定要求、行业基准和参考指南。成文信息的内容和使用成文信息的作用：定义和沟通信息安全目标、方针、指南、指令、控制、过程、规程；指导人员或团队预期要做的和如何做；在关键角色人员变动时，用于审核ISMS并保持其稳定性；记录ISMS过程和信息安全控制的措施、决策和结果。成文信息的内容：包含信息安全目标、风险、要求和标准的信息；包含宜遵循的过程和规程的信息；包含输入（例如用于管理评审）和过程输出（包括运行活动的策划和输出）的记录。成文信息的流转：在ISMS中，许多活动都会产生成文信息；这些成文信息在大多数情况下将作为其他活动的输入，形成信息的流转和循环。成文信息的质量要求：成文信息应当符合其预期用途；满足实际需求；包含对于理解和执行相关任务至关重要的“关键”信息。文件管理系统的参考：如果组织希望采用文件管理系统来管理其成文信息，可以参照ISO30301标准的要求进行建立和实施；这将有助于组织更加系统、高效地管理和利用其成文信息资产，提升ISMS的整体运行效率和效果。创建和更新总则标识和说明：当组织创建或更新成文信息时，必须确保每份文件都有适当的标识；标识可以包括但不限于标题、日期、作者或索引编号，以便轻松识别和追踪文件。格式和介质：组织还需要确定成文信息的适当格式，如文字处理文档、电子表格、图像文件等；选择适合的存储介质也是重要的，例如硬盘、云服务、纸质文档等，以确保信息的可访问性和安全性。评审和批准：成文信息的创建和更新过程应包括评审环节，以确保内容的准确性和完整性；所有成文信息在正式发布或使用前都应获得适当的批准，以确保其符合组织的信息安全管理体系标准和要求。文件化方法的定义文件化方法的必要性：组织应当定义一套文件化方法，这是为了确保文件的清晰、一致和易于管理；通过这种方法，组织能够更有效地创建、更新、检索和使用成文信息；文件的共同属性：为了唯一地标识每个文件，组织需要确定一系列共同属性；这些属性不仅有助于文件的分类和组织，还能提供关于文件内容和状态的重要信息；具体属性内容：文件类型：指明文件的性质，如方针、指令、规则等，便于用户了解文件的用途和重要性；目的范围：阐述文件适用的场景和范围，帮助用户判断文件的适用性；标题：简洁明了地表达文件主题，便于用户快速识别；版本日期：显示文件的最新版本发布日期，确保用户使用的是最新信息；类别：对文件进行更细致地分类，如按照业务领域、项目等划分；参考编号：为文件分配唯一编号，便于检索和跟踪；版本号和修订历史：记录文件的版本变化和修订情况，便于追溯和管理。文件责任人信息：作者：标识文件的原始创作者或编写者；当前负责人：指明当前负责文件维护和管理的人员；应用和改进：说明文件如何被应用以及如何进行改进，确保文件的持续有效性和适应性；批准信息：记录文件的批准人或批准机构，以及批准日期等信息，确保文件的权威性和合规性。通过这些措施，组织能够建立起一个清晰、高效的文件管理体系，从而支持信息安全管理体系的有效运行。成文信息的结构和文件化方式识别最佳结构和文件化方式：组织需要对成文信息进行详细识别，以确定其最佳的结构和适当的文件化方式。这有助于确保成文信息的清晰性、易于理解性和有效性；建立结构化的成文信息库：为了将不同的成文信息关联起来，组织应通过以下方式建立结构化的成文信息库：确定成文信息框架的结构：这涉及整个成文信息体系的顶层设计，包括各个部分之间的逻辑关系和层次结构。一个清晰的框架结构能够帮助组织更好地组织和管理成文信息；确定成文信息的标准结构：针对每一类成文信息，组织需要确定其标准的结构格式，包括标题、正文、附件等部分的编排方式和内容要求。这有助于提高成文信息的规范性和一致性。提供不同类型成文信息的模板：为了方便员工创建和更新成文信息，组织应提供各种类型的成文信息模板。这些模板应包含必要的内容和格式要求，以及填写指导和示例；确定准备、批准、发布和管理成文信息的责任：组织需要明确各项责任分工，确保有专人负责成文信息的准备、批准、发布和管理工作。这有助于保证成文信息的准确性和及时性；确定并文件化修订和批准过程：成文信息可能会随着时间和业务需求的变化而需要修订。因此，组织需要确定一个明确的修订和批准过程，并将其文件化。这可以确保成文信息能够持续保持其适宜性和充分性，同时避免因未经授权的修改而导致的潜在风险。格式和介质要求格式要求：在创建和更新成文信息时，需要确定适宜的文件语言，以确保信息的准确传达和易于理解；文件格式的选择也是重要的，它应确保文件的兼容性、可读性和长期保存性；使用的软件版本应明确，以避免因软件差异导致的信息显示或功能问题；图表内容应清晰、专业，以辅助文字信息，提高文件的整体可读性和信息传递效率。介质或载体要求：介质或载体的选择应基于信息的性质、使用频率、保存期限和访问需求；物理介质（如纸质）适用于需要实体存档或特定签名的情况；电子介质（网页、数据库、计算机日志、计算机生成的报告、音频和视频）则便于信息的快速传播、远程访问和长期保存，同时应考虑其安全性和可备份性；定义介质要求时，还需考虑信息的可移植性和未来技术的变化，以确保信息的长期可用性。表述和写作风格根据读者和文件范围确定表述和写作风格：成文信息的表述和写作风格应当与预期的读者群体相匹配，确保信息能够准确、清晰地传达给读者；文件的范围也会影响表述和写作风格的选择，例如，技术性的文件可能需要使用更专业的术语和详细的解释，而面向非技术读者的文件则应当采用更通俗易懂的表达方式。避免成文信息中的信息重复：在创建和更新成文信息时，应避免不必要的信息重复，以提高信息的可读性和效率；重复的信息不仅会增加读者的阅读负担，还可能导致信息的不一致性和误解。在不同文件中使用交叉引用：当需要在不同文件中引用相同的信息时，应使用交叉引用的方式，而不是直接复制粘贴相同的信息；交叉引用可以确保信息的准确性和一致性，同时减少信息重复和更新时的工作量；通过交叉引用，读者可以方便地查找到相关信息，提高阅读效率和理解程度。评审和批准评审和批准的目的：通过适当的管理层进行评审和批准，可以确保成文信息是准确、符合其制定目的，并且其表述形式和详细程度适合预期的读者群体；文件编制方法的要求：组织应采用的文件编制方法应能确保成文信息得到定期评审，以及所有对文件的变更都必须经过批准流程。这样做可以维持信息的时效性和准确性；评审准则的确定：适当的评审准则可以基于时间（例如设定文件评审的最大时间间隔）或内容来制定。这些准则为评审活动提供了指导和依据，确保评审的有效性和针对性；批准准则的定义：批准准则应被明确定义，以保证成文信息在获得批准前是正确无误、符合既定目的，并且其格式和详细程度适合预期读者。这是信息发布前质量控制的重要环节；定期评审的意义：通过定期评审，组织可以确保成文信息随时间和业务环境的变化而保持其适宜性和充分性，从而支持组织目标的实现。成文信息的控制信息全生命周期管理与可用性保障全生命周期管理：组织应对其信息安全管理体系和ISO/IEC27001:2022标准所要求的成文信息进行全面控制，这包括从信息的创建、审批、发布、使用、更新到最终废止的每一个阶段。全生命周期管理的目的是确保信息在任何时候都得到有效管理和保护；可用性保障：组织需要确保成文信息在需要的地点和时间是可用的。这意味着无论何时何地，只要相关人员需要访问或使用这些信息，他们都能够及时、准确地获取。为了满足这一要求，组织可能需要采取多种措施，如建立有效的信息分发机制、设置安全的远程访问途径，以及进行定期的信息备份和恢复测试等；信息安全