ISO/IEC 27001: 2022 标准详解与实施（第2版）08，5.3 组织的角色、职责和权限

点击上方蓝色字“Sky的安全观”关注我们

资料交流，请私“加群”

>>ISO系列标准解读合集<<

new!

>>更多精彩合集，敬请期待<<

5 领导作用/5.3 组织的角色、职责和权限

5.3 组织的角色、职责和权限

最高管理层应确保与信息安全相关角色的责任和权限在组织内得到分配和沟通。最高管理层应分配责任和权限，以：a) 确保信息安全管理体系符合本文件的要求；b) 向最高管理者报告信息安全管理体系绩效。注：最高管理层也可为组织内报告信息安全管理体系绩效，分配职责和权限。

【新版变化】

新版5.3有轻微变化，本质上来说，实施要求是没变化的。有3处变化：

（1）新版条款第一句增加了定语“在组织内”；

（2）旧版条款a)原文中句尾的“and”被删除了；

（3）旧版条款a)中的“国际标准”，在新版中被改成了“文件”。

【标准理解】

（1）最高管理者，应分配和沟通好与信息安全管理体系有关的职责和权限，如最高管理者的职责和权限、组织参与信息安全管理体系的部门及其负责人的职责和权限、信息安全管理体系管理者代表（如有）的职责和权限，信息安全管理体系所有过程涉及的职责和权限，信息安全管理委员会的职责和权限，信息安全管理部门的职责和权限，信息安全专职和兼职岗位的职责和权限等。

（2）最高管理者分配职责和权限的目的有两方面：一是确保信息安全管理体系符合ISO/IEC 27001: 2022要求，二是以便向最高管理者报告信息管理体系绩效和改进机会。

（3）向最高管理者报告信息管理体系绩效和改进机会的职责，通常由管理者代表或信息安全管理部门的负责人承担。

（4）职责和权限的变更，应按照条款6.3的要求进行变更。

备注1：本系列所有ISO/IEC 27001: 2022条款讲解均可以通过以下网址查看相对应讲解的视频：https://video.27001.cn/course-3.html

【行动要点】

（1）建立职责和权限分配管理过程（如图十二）；

（2）形成书面的《职责和权限分配管理流程》或《职责和权限分配管理程序》；

（3）按照《职责和权限分配管理流程》或《职责和权限分配管理程序》，建立信息安全管理组织，任命信息安全管理关键岗位，划分各过程职责，并进行相应的授权等，并输出相应的记录。

备注2：本系列讲解对应的过程乌龟图，以及输出的表单记录（示例），将在即将出版的书籍《ISO/IEC 27001： 2022标准详解与实施》中呈现。

备注3：本系列讲解的配套文件（包含一阶文件，二阶文件，三阶文件，以及四阶文件），所有文件均是独家全新编写的，企业付费（暂不接受个人付费）可以获取，请见。

【输出文档】

（1）《职责和权限分配管理流程》或《职责和权限分配管理程序》；