IS0IEC270001 解读四

•7 支持

•7.1资源

•组织应确定并提供建立、实现、维护和持续改进信息安全管理体系所需的资源。

•

•解读：

•［理解实施］（1）支持和资源是有效实施信息安全管理体系所必需的。（2）组织应确定并提供为建立、实施、保持和改进信息安全管理体系并有效运行所需的支持和资源。（3）在确定所需资源时，组织应考虑目前能力，例如，现有信息、设备设施、人力资源及其能力等。组织在评审自己目前所具有的能力时，应识别各种现有制约资源，即为减少不利影响或达成目标需要什么，以及需要什么措施。（4）应对需要什么资源和确保资源提供作出决策，包括外部提供的资源。组织应在建立、实施、保持和持续改进信息安全管理体系时，围绕所确定的信息安全管理体系范围分析、评估现有内部资源的能力和受限条件，识别出组织内部现有资源中不能满足顾客需求和适用的法规要求的环节和需进一步匹配的外部资源，然后制定资源配置计划并按照计划提供所需的资源。