一、ISO/IEC 27001:2022 7.2 标准原文
ISO/IEC 27001:2022 7.2 能力
条款要求:组织应确定在其控制下从事影响信息安全绩效工作的人员所需能力,确保这些人员基于适当教育、培训或经验具备胜任能力,必要时采取措施获得所需能力,并保留相应成文信息作为证据。
7.2关注的不是“是否上过课”,而是人员是否具备完成安全职责所需的真实胜任力。
条款要求:组织应确定在其控制下从事影响信息安全绩效工作的人员所需能力,确保这些人员基于适当教育、培训或经验具备胜任能力,必要时采取措施获得所需能力,并保留相应成文信息作为证据。
7.2关注的不是“是否上过课”,而是人员是否具备完成安全职责所需的真实胜任力。
提示:完整原文请参阅 ISO/IEC 27001:2022 正式文本
引用:能力条款的核心不是培训次数,而是关键岗位是否真的知道该做什么、怎么做、做不好会有什么后果。
二、条款解读说明
2.1 能力与意识不是一回事
很多组织容易把7.2和7.3混在一起。7.2讲的是“能不能做好”,7.3讲的是“知不知道为什么要这样做”。例如,员工知道密码不能泄露,这是意识;系统管理员能够正确配置权限、启用日志并验证备份,这才是能力。能力条款关注的是与岗位职责相匹配的技术、管理和协作能力,尤其是那些直接影响风险评估、控制实施、事件响应和合规执行的关键岗位。
能力不足往往比意识不足更隐蔽,也更危险。一个意识很强但能力不足的团队,可能明知需要补丁管理,却不会建立资产与漏洞关联;明知需要应急响应,却无法完成证据保全和根因分析;明知需要最小权限,却缺少角色权限设计能力。因此,7.2要求组织必须先定义“什么岗位需要什么能力”,再判断当前是否具备,并通过培训、实践、指导或引入经验来补齐。
2.2 能力条款的关键构成
| 关键要素 | 条款要求 | 常见偏差 | 建议输出 |
|---|---|---|---|
| 能力识别 | 明确关键岗位所需能力 | 只说“需要懂安全” | 岗位能力清单 |
| 胜任判断 | 判断人员是否具备能力 | 以参加培训代替胜任结论 | 评估记录、面谈或考核结果 |
| 能力获取 | 通过培训、导师制、外部支持等提升能力 | 只有通用培训,缺少岗位训练 | 培养计划 |
| 证据留存 | 保留能力证明 | 记录零散不可追溯 | 证书、考核、实操记录 |
2.3 关键岗位能力比普遍培训更重要
并不是所有人员都需要同等深度的安全能力。管理层需要理解风险和治理,业务负责人需要理解风险接受和数据责任,系统管理员需要掌握技术控制,开发人员需要理解安全开发和变更要求,采购和法务需要识别安全条款和供应商风险。7.2强调的是与岗位影响程度相匹配的能力建设,而不是人人上一样的课程。
注意:审核时如果关键岗位无法说明自己的安全职责、操作要求和判断标准,通常会被视为能力管理不充分,即使培训签到表再完整也无济于事。
三、实施要点
3.1 建立岗位能力模型
- 围绕管理层、安全负责人、系统管理员、开发、运维、采购、HR、审计等关键角色建立能力清单。
- 区分基础能力、专业能力和岗位专项能力。
- 把能力要求与5.3职责条款联动起来。
3.2 不只看证书,更看实操
- 培训证书可以作为证据,但不能替代胜任结论。
- 对关键岗位应结合实操检查、案例复盘、演练表现或工作结果做判断。
- 必要时通过导师带教、岗位轮训或外部专项辅导强化能力。
3.3 让能力提升与风险重点同步
- 如果当前高风险集中在访问控制、日志、供应链或应急响应,就应优先补这些岗位能力。
- 避免培训内容长期固定不变,与实际风险脱节。
- 重大技术和业务变化后,应同步更新能力要求。
3.4 做好能力评价和追踪
- 定期识别关键岗位能力差距,并形成补强计划。
- 将能力差距和高风险项关联,提升改进紧迫性。
- 对关键岗位离职或变更带来的能力断层提前做预案。
3.5 保留可审核证据
- 证据应覆盖能力要求、培训措施、实操或考核结果和后续改进。
- 不要让能力证据散落在邮件、聊天或个人记录中。
- 证据重点是“具备能力”的事实,而不只是“参加活动”的事实。
成功:有效的7.2实施,不是让培训档案更厚,而是让关键岗位在面对风险、变更和事件时具备独立判断和正确执行的能力。
四、常用工具与实施方法
| 工具/方法 | 应用目的 | 实施建议 | 输出成果 |
|---|---|---|---|
| 岗位能力矩阵 | 定义胜任要求 | 按岗位列出必备知识、技能和经验 | 能力模型 |
| 能力差距评估 | 识别当前短板 | 结合访谈、测试和工作结果进行判断 | 差距清单 |
| 岗位化培养计划 | 提升关键能力 | 用培训、演练、导师制和外部辅导结合 | 能力提升计划 |
| 演练与案例复盘 | 验证实操能力 | 优先用于事件响应、恢复和关键审批岗位 | 复盘记录 |
| 年度能力复评 | 保持能力与风险同步 | 结合业务变化和高风险项做动态更新 | 年度评估报告 |
五、典型案例
案例一:开发团队培训很多,但安全缺陷仍反复出现
- 背景:企业每年安排开发安全培训,但代码缺陷和配置错误持续高发。
- 问题:培训偏理论,缺少结合业务和工具链的实操要求。
- 7.2动作:将能力要求细化到安全编码、依赖管理、发布校验和缺陷复盘,并引入实操考核。
- 结果:缺陷复发率下降,开发团队对风险理解更具体。
- 启示:能力建设要贴近岗位动作,而不是停留在概念学习。
案例二:运维团队通过演练暴露能力断层
- 背景:企业自认为备份机制完善。
- 问题:恢复演练时发现关键人员不会完整执行恢复流程。
- 7.2动作:把恢复演练结果纳入能力评估,并针对薄弱环节重新培训和轮训。
- 结果:可用性保障能力显著提升。
- 启示:真正的能力往往在演练中被检验出来。
案例三:采购和法务被纳入安全能力建设
- 背景:企业第三方合同中的安全条款长期不统一。
- 问题:采购和法务未被视为安全能力建设对象。
- 7.2动作:将关键安全条款、供应商审查要点和风险识别纳入采购与法务能力模型。
- 结果:供应商管理质量明显改善。
- 启示:能力条款的覆盖范围应与职责影响范围一致。
六、成文信息管理要求
7.2明确要求组织保留适当成文信息作为能力证据。因此,组织应既能证明已识别岗位能力要求,也能证明相关人员通过培训、经验或实际表现达到了相应水平。
| 建议文件或记录 | 关键内容 | 责任部门 | 审核价值 |
|---|---|---|---|
| 岗位能力清单 | 岗位、能力要求、等级、适用对象 | HR/安全部 | 证明能力要求已定义 |
| 能力评估记录 | 当前能力状态、差距和结论 | 部门负责人/HR | 证明胜任判断存在 |
| 培训和实操记录 | 课程、演练、考核、导师制、外部辅导 | HR/安全部/部门 | 证明已采取补强措施 |
| 能力改进追踪记录 | 差距整改、复评结果、岗位替补方案 | HR/部门负责人 | 证明能力建设持续运行 |
七、常见误区及踩坑提醒
| 误区 | 问题表现 | 正确做法 |
|---|---|---|
| 把能力等同于参加培训 | 有签到,无胜任判断 | 结合实操和工作结果评价能力 |
| 所有岗位接受同样培训 | 关键岗位能力建设失焦 | 建立岗位化能力模型 |
| 只关注技术岗位 | 采购、法务、HR等支持岗位能力不足 | 按职责影响范围确定覆盖对象 |
| 能力差距识别后无后续动作 | 问题长期存在 | 形成补强计划并复评结果 |
| 证据零散不可追溯 | 审核时无法证明人员胜任 | 统一管理关键能力证据 |
警告:避免把7.2做成培训台账管理。真正的隐患在于关键岗位看似受训,实际不具备完成职责所需的能力。
小结:第7.2条要求组织围绕岗位职责建立真实的能力管理机制。只有具备胜任力的人去执行关键控制和判断,ISMS才能稳定运行。