一、ISO/IEC 27001:2022 5.3 标准原文
ISO/IEC 27001:2022 5.3 组织的岗位、职责和权限
条款要求:最高管理者应确保与信息安全相关的岗位职责和权限得到分配和沟通,确保组织内相关人员理解自己在ISMS中的责任。
5.3的核心不在于头衔多少,而在于组织能否把谁负责、谁决策、谁执行、谁验证说清楚并落到日常运行中。
条款要求:最高管理者应确保与信息安全相关的岗位职责和权限得到分配和沟通,确保组织内相关人员理解自己在ISMS中的责任。
5.3的核心不在于头衔多少,而在于组织能否把谁负责、谁决策、谁执行、谁验证说清楚并落到日常运行中。
提示:完整原文请参阅 ISO/IEC 27001:2022 正式文本
引用:在信息安全管理中,很多问题不是“没人做”,而是都以为别人会做。
二、条款解读说明
2.1 为什么5.3经常被低估
不少组织认为,已有IT部门、安全部门和业务部门,自然就已经分工明确。实际上,信息安全中的很多关键动作跨越多条管理线,例如账号开通涉及HR、直属主管、系统管理员和资产负责人,供应商管理涉及采购、法务、业务和安全,事件响应涉及IT、法务、品牌、公关、客服和管理层。如果不把职责、权限和升级路径写清,平时可能看不出来,一旦出现审计、投诉或安全事件,职责边界就会迅速混乱。
5.3关注的不是组织架构图本身,而是角色职责是否真实存在于流程中。也就是说,文件里写某岗位“负责信息安全”没有意义,关键在于该岗位是否拥有相应权限、是否知道何时介入、是否能获取所需信息、是否承担明确输出。没有权限的责任只是口号,没有责任的权限则会形成失控。
2.2 关键角色与职责逻辑
| 角色类别 | 典型职责 | 常见问题 | 建议控制 |
|---|---|---|---|
| 最高管理者 | 决策、资源批准、风险接受、评审推动 | 责任下放过度 | 明确高层审批和问责事项 |
| 信息安全负责人 | 体系推动、风险协调、制度维护、评审组织 | 只有协调权,没有升级权 | 赋予跨部门推动机制 |
| 业务负责人/资产负责人 | 明确业务需求、数据价值、风险容忍度和审批责任 | 认为安全全归IT | 将业务责任写入审批和评审 |
| IT/运维/开发 | 技术控制实施、日志、变更、备份、漏洞处理 | 执行动作多,边界不清 | 用流程明确输入输出和时限 |
| HR/采购/法务等支持部门 | 入离职控制、合同条款、供应商要求、合规支持 | 未纳入ISMS职责网络 | 在跨部门流程中明确角色 |
2.3 权责清晰比“设不设CISO”更重要
很多企业关心是否必须设独立安全部门或CISO岗位。标准并没有强制规定具体组织形式,真正重要的是职责清晰、权限匹配、接口明确。小型企业可以由一名兼任负责人推动体系,大型企业则可能需要专门团队和分层角色。不论结构如何,关键都在于:谁有权批准例外、谁负责风险评估、谁维护资产清单、谁推动事件复盘、谁决定整改优先级,这些问题必须清晰可答。
注意:5.3的成熟度并不取决于岗位名称,而取决于职责是否落到流程节点和实际审批动作上。
三、实施要点
3.1 先识别关键安全过程,再分配职责
- 围绕风险评估、访问控制、变更管理、供应商管理、事件响应、培训和审核等关键过程进行职责拆分。
- 避免先按部门拍脑袋分工,再发现关键接口没人负责。
- 每个过程至少明确发起、审批、执行、监督和升级角色。
3.2 用RACI矩阵把责任说清楚
- 对高频跨部门活动建立RACI矩阵,明确谁负责、谁批准、谁参与、谁被告知。
- 对高风险事项增加升级路径,例如超过时限未整改自动提交管理层。
- 矩阵应与流程和系统审批规则保持一致。
3.3 让职责与权限匹配
- 如果要求安全负责人推动整改,就要赋予其升级和协调机制,而不是只负责任何结果却没有推动手段。
- 如果要求业务负责人承担数据和风险责任,就要让其参与审批和风险接受,而不是只被动知会。
- 避免出现“权力在A,责任在B”的结构性矛盾。
3.4 做好职责沟通和培训
- 职责文件不能只存档,应进入岗位说明、流程培训和入岗培训。
- 对关键岗位如系统管理员、资产负责人、项目经理、采购经理开展专题培训。
- 在访谈中验证相关人员是否知道自己在ISMS中的具体责任。
3.5 发生变化时及时更新职责
- 组织重组、系统上云、引入外包、项目模式变化后,应及时调整职责分工。
- 职责更新应同步反映到流程、权限和审批矩阵中。
- 避免文件已改,系统和执行仍按旧方式运行。
成功:有效的5.3会使组织在遇到问题时能迅速回答三个问题:谁负责、谁拍板、谁跟踪到底。
四、常用工具与实施方法
| 工具/方法 | 应用目的 | 实施建议 | 输出成果 |
|---|---|---|---|
| RACI职责矩阵 | 明确跨部门分工 | 对关键流程逐项拆解责任 | 职责矩阵表 |
| 岗位说明书联动 | 把职责纳入人力管理 | 将关键安全责任写入岗位说明 | 岗位职责文件 |
| 审批流配置检查 | 验证权限是否匹配 | 对系统审批与职责文件做一致性检查 | 一致性核查记录 |
| 职责场景演练 | 验证角色理解 | 通过事件模拟和访谈验证职责可用性 | 演练记录 |
| 升级机制清单 | 避免职责卡在中间层 | 定义超期、重大风险和重大事件升级门槛 | 升级规则 |
五、典型案例
案例一:账号治理因职责不清长期失控
- 背景:员工离职后账号回收常延迟,系统中残留大量历史权限。
- 问题:HR以为IT会处理,IT以为直属主管会提单,业务负责人则没有被纳入流程。
- 5.3动作:重构入离职RACI,明确HR发起、直属主管确认、IT执行、资产负责人复核、安全团队监控。
- 结果:账号回收时效明显改善,历史权限积压减少。
- 启示:很多安全漏洞背后其实是职责链断裂。
案例二:供应商管理由“采购问题”升级为“跨部门责任”
- 背景:多个外包供应商接入内部系统,但安全条款落实不一致。
- 问题:采购签合同,IT开权限,业务推动上线,安全团队最后才知道。
- 5.3动作:明确采购负责准入发起和合同管理,业务负责需求合理性,安全负责审查,IT负责开通和回收,法务负责条款把关。
- 结果:第三方接入流程更可控,补救成本下降。
- 启示:安全职责从来不是单一部门可以独立承担的。
案例三:安全事件响应中的指挥权重建
- 背景:企业发生异常访问事件时,多个团队同时行动,信息混乱。
- 问题:没人明确拥有指挥权和对外沟通权限。
- 5.3动作:在事件响应机制中明确事件经理、技术负责人、法务、公关和管理层各自权限与升级路径。
- 结果:响应节奏更清晰,内部协同和外部沟通都更稳定。
- 启示:职责清晰是应急成功的前提条件之一。
六、成文信息管理要求
5.3要求职责和权限得到分配和沟通,因此组织应保留既能证明职责设计,又能证明职责已被执行和理解的证据。只有组织架构图通常是不够的。
| 建议文件或记录 | 关键内容 | 责任部门 | 审核价值 |
|---|---|---|---|
| 职责矩阵或职责分配表 | 关键过程、角色、责任和批准权限 | 体系办/安全部 | 证明职责已分配 |
| 岗位说明书 | 岗位职责、权限边界、关键接口 | HR/各部门 | 证明职责进入岗位管理 |
| 流程与审批记录 | 实际执行中的发起、审批、复核和升级痕迹 | 各过程责任部门 | 证明职责不是停留在文件里 |
| 培训与沟通记录 | 对象、内容、理解验证结果 | HR/安全/部门负责人 | 证明职责已被沟通理解 |
七、常见误区及踩坑提醒
| 误区 | 问题表现 | 正确做法 |
|---|---|---|
| 只有组织架构,没有职责细化 | 跨部门事项说不清谁负责 | 按关键过程拆分职责与权限 |
| 责任和权限不匹配 | 负责的人没有推动手段 | 同步配置审批权和升级权 |
| 职责文件和实际流程不一致 | 系统审批规则与文档冲突 | 定期做一致性检查 |
| 支持部门未纳入ISMS | HR、采购、法务游离在体系外 | 将支持部门职责明确写入流程和矩阵 |
| 职责变化不更新 | 组织变更后仍沿用旧角色划分 | 在组织和业务变化后及时修订 |
警告:避免只在文件中写“由相关部门负责”。这种表述最容易造成职责悬空和事后扯皮,也是审核中的高频问题。
小结:第5.3条要求组织把信息安全责任真正落实到岗位、流程和权限中。只有权责清晰,ISMS中的风险管理、事件响应和持续改进才不会卡在接口处。