7 支持

7.1 资源

组织应确定并提供建立、实施、保持和持续改进信息安全管理体系所需的资源。

7.2 能力

组织应：

a) 确定从事在组织控制下且会影响组织的信息安全绩效的工作的人员的必要能力；

b) 确保上述人员在适当的教育、培训或经验的基础上能够胜任其工作；

c) 适用时，采取措施以获得必要的能力，并评估所采取措施的有效性；

d) 保留适当的文件化信息作为能力的证据。

注：适用的措施可包括，例如针对现有雇员提供培训、指导或重新分配；雇佣或签约有能力的人员。

7.3 意识

在组织控制下工作的人员应了解：

a) 信息安全方针；

b) 其对信息安全管理体系有效性的贡献，包括改进信息安全绩效带来的益处；

c) 不符合信息安全管理体系要求带来的影响。

7.4 沟通

组织应确定与信息安全管理体系相关的内部和外部的沟通需求，包括：

a) 沟通内容；

b) 沟通时间；

c) 沟通对象；

d) 谁应负责沟通；

e) 影响沟通的过程。

7.5 文件化信息

7.5.1 总则

组织的信息安全管理体系应包括：

a) 本标准要求的文件化信息；

b) 组织为有效实施信息安全管理体系所确定的必要的文件化信息。

注：不同组织的信息安全管理体系文件化信息的详略程度取决于：

1) 组织的规模及其活动、过程、产品和服务的类型；

2) 过程的复杂性及其相互作用；

3) 人员的能力。

7.5.2 创建和更新

创建和更新文件化信息时，组织应确保适当的：

a) 标识和描述（例如标题、日期、作者或编号）；

b) 格式（例如语言、软件版本、图表）和介质（例如纸质、电子介质）；

c) 对适宜性和充分性的评审和批准。

7.5.3 文件化信息的控制

信息安全管理体系及本标准所要求的文件化信息应予以控制，以确保：

a) 在需要的地点和时间，是可用和适宜的；

b) 得到充分的保护（如避免保密性损失、不恰当使用、完整性损失等）。

为控制文件化信息，适用时，组织应开展以下活动：

c) 分发，访问，检索和使用；

d) 存储和保护，包括保持可读性；

e) 控制变更（例如版本控制）；

f) 保留和处置。

组织确定的为规划和运行信息安全管理体系所必需的外来的文件化信息，应得到适当的识别，并予以控制。

注：访问隐含着允许仅浏览文件化信息，或允许和授权浏览及更改文件化信息等决定。