ISO/IEC 27701: 2019 标准详解与实施（12）5.3.1 领导和承诺

5PIMS-specific requirements related to ISO/IEC 27001 与ISO/IEC27001相关的隐私信息管理体系（PIMS）的特定要求/5.3 Leadership　领导/5.3.1 Leadership andcommitment 领导和承诺    

5.3.1 Leadership and commitment 领导和承诺

The requirements stated in ISO/IEC 27001:2013, 5.1 along with theinterpretation specified in 5.1, apply.
ISO/IEC 27001:2013, 5.1陈述的要求，以及5.1明确的解释，适用。

   

ISO/IEC 27001:2013, 5.1 领导和承诺    

5.1 领导和承诺

Zui高管理者应通过下列方式展示其关于信息安全管理体系的领导力和承诺：

a) 确保建立信息安全方针和信息安全目标，并与组织的战略方向保持一致；
b) 确保将信息安全管理体系要求整合到组织的业务过程中；
c) 确保信息安全管理体系所需资源可用；
d) 传达信息安全管理有效实施、符合信息安全管理体系要求的重要性；
e) 确保信息安全管理体系实现其预期结果；
f) 指挥并支持人员为信息安全管理体系的有效实施作出贡献；
g) 促进持续改进；
h) 支持其他相关管理角色在其职责范围内展示他们的领导力。

   

【标准理解】

（1）本条款（5.3.1）是以ISO/IEC 27001: 2013中的“5.1领导和承诺”为内核，没有额外的附加要求，在实施ISO/IEC 27701: 2019时，只需要满足ISO/IEC 27001:2013中的“5.1 领导和承诺”要求，以及5.1中的通用扩展要求。

（2）组织应依据5.1中的通用扩展要求，对ISO/IEC 27001: 2013中的“5.1领导和承诺”中内容进行扩展，凡是出现“信息安全”的地方，一律需要替换成“信息安全和隐私”，如“信息安全管理体系”替换成“信息安全和隐私管理体系”，“信息安全方针”替换成“信息安全和隐私方针”，“信息安全目标”替换成“信息安全和隐私目标”等。

（3）ISO/IEC 27001: 2013中的“5.1 领导和承诺”中的a)-h)是ISO/IEC 27001:2013中标准中其他条款中的要求，之把这些要求汇总到5.1，是因为这些条款要素涉及的活动，都是组织的Zui高管理者必须亲自参与或亲自指挥的，以此来证实Zui高管理者对信息安全和隐私管理体系（隐私信息管理体系）的领导和承诺。

（4）Zui高管理者亲自参与或亲自指挥ISO/IEC 27001:2013，5.1要求的活动，必须有相关书面记录，不能空口说白话。

（5）确保建立信息安全和隐私方针和信息安全和隐私目标，并与组织的战略方向保持一致：Zui高管理者必须亲自参与或亲自指挥ISO/IEC27001: 2013，5.2 方针（ISO/IEC 27701: 2019，5.3.2），以及6.2信息安全和隐私目标及其实现规划（ISO/IEC 27701: 2019，5.4.2）等条款活动。

（6）确保将信息安全和隐私管理体系要求整合到组织的业务过程中：Zui高管理者必须亲自参与或亲自指挥ISO/IEC 27001:2013，6.1应对机遇和风险措施（ISO/IEC 27701: 2019，5.4.1）等条款活动。

（7）确保信息安全和隐私管理体系所需资源可用：Zui高管理者必须亲自参与或亲自指挥ISO/IEC 27001: 2013，7.1资源（ISO/IEC 27701: 2019，5.5.1）等条款活动。

（8）传达信息安全和隐私管理有效实施、符合信息安全和隐私管理体系要求的重要性：Zui高管理者必须通过ISO/IEC 27001:2013，7.4 沟通（ISO/IEC 27701:2019，5.5.4）等条款活动，对组织高层，各部门负责人，以及全体员工通过各种方式（如会议，现场讲话，视频讲话，公告，邮件通知等）沟通有效的信息安全和隐私管理和符合信息安全和隐私管理体系要求的重要性。

（9）确保信息安全和隐私管理体系实现其预期结果：Zui高管理者必须亲自参与或亲自指挥ISO/IEC 27001: 2013，9.1监视、测量、分析和评价（ISO/IEC 27701: 2019，5.7.1），9.2 内部审核（ISO/IEC 27701:2019，5.7.2），以及9.3 管理评审（ISO/IEC 27701: 2019，5.7.3）等条款活动。

（10）指挥并支持人员为信息安全和隐私管理体系的有效实施作出贡献：Zui高管理者必须亲自参与或亲自指挥ISO/IEC 27001:2013，7.2 能力（ISO/IEC 27701: 2019，5.5.2），7.3 意识（ISO/IEC 27701:2019，5.5.3），7.4 沟通（ISO/IEC 27701: 2019，5.5.4）等条款活动。

（11）促进持续改进：Zui高管理者必须亲自参与或亲自指挥ISO/IEC 27001: 2013，10 改进（ISO/IEC27701: 2019，5.8）等条款活动。

（12）支持其他相关管理角色在其职责范围内展示他们的领导力：Zui高管理者必须亲自参与或亲自指挥ISO/IEC 27001:2013，7.1 资源（ISO/IEC 27701: 2019，5.5.1），7.2 能力（ISO/IEC 27701:2019，5.5.2），7.3 意识（ISO/IEC 27701: 2019，5.5.3），7.4 沟通（ISO/IEC 27701:2019，5.5.4）等条款活动。

【行动要点】

（1）建立领导和承诺管理过程。

（2）形成书面的《领导和承诺管理流程》或《领导和承诺管理程序》，明确Zui高管理者必须参与或指挥的信息安全和隐私管理体系（隐私信息管理体系）的过程，以及参与时机，和Zui高管理者参与过程中的具体职责等。

（3）按照《领导和承诺管理流程》或《领导和承诺管理程序》，Zui高管理者及时参与信息安全和隐私管理体系（隐私信息管理体系）的相关过程中，并输出相应的记录。

【输出文档】

（1）《领导和承诺管理流程》或《领导和承诺管理程序》。

（2）Zui高管理者参与相关过程的工作记录，如管理评审会议记录，方针评审和批准记录，持续改进工作会议记录等。

【审核要点】

（1）访谈Zui高管理者，是否参与到ISO/IEC 27001: 2013，5.1要求的相关活动。

（2）验证管理评审会议记录，是否有Zui高管理者参与。

（3）方针和目标评审是否有Zui高管理者参与，方针是否由Zui高管理者批准，能否提供相关记录。

（4）Zui高管理者是否定期组织持续改进工作会议，能否提供会议记录。