Organisational Controls: Crafting Policies and Defining Responsibilities in A.5.1 - A.5.4

ISO 27001 附件 A 中列出的控制措施已在新版 2022 标准中进行了更新，以反映自 2013 年发布上一版本以来出现的云技术和新威胁。

它们主要告诉您应该采取哪些措施来最大限度地降低（或消除）与信息安全管理系统（ISMS）相关的风险。ISO 27001 认证的优势之一是附件 A 中列出的控制措施。

这些控制措施分为 4 个不同的类别

A.5.1 信息安全政策

与大多数 ISO 标准一样，获得管理层的承诺并确定管理方向是成功实施 ISMS 的关键。

基本上，满足这一条款的要求很容易，因为第 5.1 和 5.2 条的工作已经完成。因此，上一篇博客已对其进行了介绍：条款 5：关注领导力、承诺、责任和信息安全政策。

关于创建、制定和实施政策的主要启示有

一种方法是使手册与信息安全政策相联系。

A.5.1 的第二部分是，需要按计划的时间间隔或在发生重大变化时对政策进行审查。

实现这一目标的最佳方法是每年举行一次活动或会议来审查信息安全政策，以检查政策的适宜性、充分性和有效性。

本条款从责任开始。与任何管理系统一样，明确每个人的角色、责任和权限是系统成功的关键。

一个合理的开端是绘制组织结构图，显示公司每个人之间的关系。组织结构图应传达给员工，以便在出现任何问题时，每个人都能清楚地了解汇报关系。一旦确定了组织结构和上下级关系，就应确保每位员工都能充分了解自己的工作职责。

需要以书面和口头形式提供每个工作角色的详细情况。只提供工作职责的书面概要，员工就没有机会澄清，没有机会提问，也没有地方提出疑虑。仅仅讨论他们的工作职责也不好--你们可能都会忘记所讨论内容的 80%。

还有一点没有得到足够的重视，那就是员工了解其他同事工作职责的重要性。了解其他团队成员的职责有助于每个人了解自己和其他人的投入所产生的影响。这有助于员工纵观全局，了解他们是如何共同努力实现预期成果的。

与明确职责类似的下一条是职责分离。该标准明确指出，职责分离有助于 "减少未经授权或无意修改或滥用组织资产的机会"。因此，请确保您的系统有效地进行了职责分工，让不同的人员和角色在将工作推入实时环境之前，或在执行关键交易之前，对彼此的工作进行审查和检查。

这项控制措施旨在确保管理层认识到他们有责任确保员工遵守信息安全政策和程序。最好的办法是将信息安全纳入现有流程。

最初，我们建议从强有力的入职培训计划开始。更新上岗培训系统，将信息安全纳入其中。根据您的系统，您应涵盖所有政策、资产管理、系统访问、建筑物访问、密码强度、恶意软件、备份、软件控制、网络、采购、事故和业务连续性。

其次，对所有员工实施持续的培训和教育计划。将上述项目作为一个持续的过程。一次性的培训和教育课程通常是不够的。如果没有定期的后续培训提醒，员工就会忘记。

另一种方法是每月与全体员工召开总结会议。在这些会议上，可以进行一些信息安全方面的教育和培训。这种教育可以作为每位员工的职业发展记录在案。