一、ISO/IEC 27001:2022 6.2 标准原文
ISO/IEC 27001:2022 6.2 信息安全目标及其实现的策划
条款要求:组织应在相关职能和层次上建立信息安全目标,目标应与信息安全方针保持一致、可测量、考虑适用要求和风险评估结果,并明确要做什么、需要哪些资源、由谁负责、何时完成以及如何评价结果。
6.2强调的是把“要变得更安全”转化为可执行、可跟踪、可验证的目标管理机制。
条款要求:组织应在相关职能和层次上建立信息安全目标,目标应与信息安全方针保持一致、可测量、考虑适用要求和风险评估结果,并明确要做什么、需要哪些资源、由谁负责、何时完成以及如何评价结果。
6.2强调的是把“要变得更安全”转化为可执行、可跟踪、可验证的目标管理机制。
提示:完整原文请参阅 ISO/IEC 27001:2022 正式文本
引用:信息安全目标不是装饰性的KPI,而是风险策划和管理承诺的落地表达。
二、条款解读说明
2.1 为什么很多组织的安全目标失效
失效的主要原因通常有三类。第一类是目标过虚,例如“加强信息安全管理”“提升安全意识”,没有衡量标准;第二类是目标过窄,只选几个容易统计的指标,例如培训覆盖率,却没有覆盖真正高风险领域;第三类是目标与资源脱节,虽然写了完成时限和责任人,但没有预算、系统支持或跨部门配合机制,最终只能反复延期。
标准要求目标与方针一致、可测量、考虑风险评估结果,并明确实现路径,这其实是在告诉组织:目标不是单独存在的数字,而是治理动作的出口。好的目标既能反映风险重点,又能引导资源和流程变化。例如,将“高风险漏洞修复时效”“离职账号回收达标率”“关键系统恢复验证完成率”“高风险供应商年度复评覆盖率”等设为目标,往往比“提升安全管理水平”更具管理价值。
2.2 条款关键要求拆解
| 关键要求 | 标准含义 | 常见问题 | 建议做法 |
|---|---|---|---|
| 与方针一致 | 目标应体现方针核心承诺 | 方针和目标脱节 | 建立方针-目标映射 |
| 可测量 | 可用指标、阈值或里程碑评价 | 只有方向没有标准 | 定义口径、阈值和统计周期 |
| 考虑适用要求和风险 | 目标应反映关键合规和风险重点 | 只选容易统计的指标 | 从风险处置和监管要求反推目标 |
| 实现策划 | 明确行动、资源、责任、时间和评价方式 | 目标有了,计划缺失 | 配套目标实现计划 |
| 更新和沟通 | 目标应被相关层级理解并定期调整 | 年初立项,年末才回看 | 按周期跟踪并复盘 |
2.3 目标不应只停留在组织级
ISO 27001要求在相关职能和层次上建立目标,这意味着目标既可以是组织级,也应该进一步分解到关键部门和关键过程。例如,组织级目标可以是“高风险整改闭环率达到95%”,运维部门对应“关键补丁时限达成率”,HR对应“离职账号回收及时率”,采购对应“关键供应商复评覆盖率”。只有这样,目标才会从“管理口号”变成“部门动作”。
注意:6.2要求的不只是“定目标”,更是定出一套能被执行和验证的目标实现机制。
三、实施要点
3.1 从风险和方针中提炼目标主题
- 优先从高风险事项、关键监管要求、客户关注点和方针承诺中提炼目标,不要只选容易做汇报的指标。
- 目标主题可围绕访问控制、漏洞管理、可用性、事件响应、供应商安全、意识与培训等展开。
- 确保目标数量适中,聚焦关键领域。
3.2 定义清晰的衡量口径
- 为每项目标定义统计口径、数据来源、统计周期和阈值,避免不同部门理解不同。
- 对难以量化的目标,可设置阶段性里程碑和验证条件。
- 必要时结合结果指标和过程指标,防止被单一数字误导。
3.3 为目标配套实现计划
- 明确为达成目标需要哪些具体行动、项目、培训、工具或制度调整。
- 将资源需求写清,避免责任人背负无资源目标。
- 对跨部门目标建立联合责任和定期协调机制。
3.4 形成周期性跟踪
- 按月或按季度监控目标进展,必要时及时纠偏。
- 对连续偏离目标的领域应进行原因分析,而不是到年底统一解释。
- 将目标状态纳入管理评审和内部审核关注点。
3.5 让目标具备动态更新能力
- 环境变化、风险变化或组织能力变化时,应调整目标内容或阈值。
- 对已经达成且稳定的目标,可逐步提高标准或转为常规运行指标。
- 确保目标更新留痕,便于追溯。
成功:好的6.2实施效果,是让组织能清楚回答:我们今年最重要的安全改进是什么、靠什么实现、由谁推动、如何证明达成。
四、常用工具与实施方法
| 工具/方法 | 应用目的 | 实施建议 | 输出成果 |
|---|---|---|---|
| 方针-目标映射表 | 确保目标与方针一致 | 逐项对应方针承诺和目标指标 | 映射关系表 |
| SMART目标模板 | 提升可测量性 | 明确阈值、责任人、期限和评价方式 | 目标卡片 |
| 目标实现计划 | 把目标转化为行动 | 同步列出资源、依赖和里程碑 | 项目/行动计划 |
| 月度或季度跟踪机制 | 及时纠偏 | 用统一口径形成状态报告 | 进展报表 |
| 复盘与调整机制 | 持续优化目标 | 对偏差项做根因分析并调整计划 | 复盘记录 |
五、典型案例
案例一:目标从“提升安全”改为“提升高风险闭环率”
- 背景:企业原有目标为“提升信息安全管理水平”。
- 问题:年底无法判断是否真正达成。
- 6.2动作:改为“高风险整改闭环率不低于95%,超期项逐月下降”。
- 结果:部门动作更明确,管理层也更容易跟踪。
- 启示:目标越具体,管理越有效。
案例二:制造企业将恢复能力纳入目标
- 背景:企业长期偏重预防,忽视恢复验证。
- 问题:备份存在,但恢复从未完整演练。
- 6.2动作:设定“关键系统恢复验证年度覆盖率”和“恢复时限达成率”目标。
- 结果:可用性管理显著增强。
- 启示:目标会决定组织把精力投向哪里。
案例三:服务企业把供应商安全纳入部门目标
- 背景:关键供应商越来越多,但采购部门目标只关注成本和交付。
- 问题:安全复评长期无法推进。
- 6.2动作:将高风险供应商复评覆盖率和整改完成率纳入采购部门目标。
- 结果:跨部门配合明显改善。
- 启示:目标分解是跨部门协同的重要抓手。
六、成文信息管理要求
6.2要求组织对目标及其实现策划进行管理,因此不仅要有目标清单,还要有与之配套的实现计划、跟踪记录和调整痕迹。否则目标很容易沦为年初申报、年末解释的形式化工作。
| 建议文件或记录 | 关键内容 | 责任部门 | 审核价值 |
|---|---|---|---|
| 信息安全目标清单 | 目标内容、指标口径、阈值、责任部门 | 体系办/安全部 | 证明目标已正式建立 |
| 目标实现计划 | 行动、资源、责任人、期限、评价方法 | 各责任部门 | 证明目标有实现路径 |
| 进展跟踪记录 | 阶段数据、偏差分析、纠偏动作 | 各责任部门 | 证明目标在运行中被管理 |
| 调整与复盘记录 | 目标更新原因、阈值变化、改进结论 | 管理层/体系办 | 证明目标具备动态改进性 |
七、常见误区及踩坑提醒
| 误区 | 问题表现 | 正确做法 |
|---|---|---|
| 目标过于抽象 | 无法判断是否达成 | 设置明确指标或里程碑 |
| 目标只看容易统计的项目 | 真正高风险领域未被覆盖 | 以风险和要求为导向选目标 |
| 目标无资源支撑 | 责任人有名无实 | 同步策划资源和支持条件 |
| 目标不分解到相关层级 | 组织级目标无法落地 | 分解到部门和关键过程 |
| 年底才看结果 | 偏差无法及时纠正 | 建立周期性跟踪和复盘机制 |
警告:避免把6.2做成“指标罗列”。最常见的问题是目标不与风险和资源绑定,导致看起来完整,实际上无法实现。
小结:第6.2条要求组织建立真正能被执行和验证的信息安全目标,并为其实现提供清晰的行动路径、资源支持和跟踪机制。目标只有进入运行节奏,才会成为体系改进的抓手。