联系电话
首页 ISO27001 ISO27001咨询
新闻动态推荐
热点文章推荐

建立ISO27001信息安全管理体系的文档化与记录

ISO27001信息安全管理框架的建设只是建设信息安全管理体系ISMS的第一步。在具体实施ISO27001信息安全管理体系的过程中,还必须充分考虑其他方面的因素,如实施的各项费用因素(培训费、报告费等)、与组织员工原有工作习惯的冲突、不同部门/机构之间在实施过程中的相互协作问题等。

组织要按照所选择的控制目标和控制方式进行有效的安全控制,即按照策略、程序等要求展开信息处理、安全管理等各项活动。实施的有效性包括两方面的含义,一是控制活动应严格按要求执行;二是活动的结果应达到预期的目标要求,即风险控制的结果是可接受的。

文档化

在信息安全管理体系ISMS构建和实施的过程中,还必须建立起各种相关的文档、文件,如ISMS管理范围中所规定的文档内容、对管理框架的总结、在信息安全管理体系ISMS管理范围内规定的管制采取过程、信息安全管理体系ISMS管理和具体操作的过程等。文档可以以各种形式进行保存,但必须划分为不同的等级和类型。同时,为了今后信息安全认证工作的顺利进行,文档还必须能够非常容易地被指定的第三方访问和理解。信息安全管理体系的文档层次结构如下图所示。

undefined
信息安全管理体系的文档层次结构图

在建立起各种文档之后,组织还必须对它进行严格的管理,并结合组织业务和规模的变化,对文档进行有规律、周期性的回顾和修正。当某些文档不再适合组织的信息安全策略需求时,就必须将其废止。

记录

组织应对实施ISO27001信息安全管理体系ISMS过程中发生的各种与信息安全有关的事件进行全面记录。安全事件的记录对高效实现信息安全管理体系ISMS具有很重要的作用,它为组织进行信息安全策略的定义、安全管理措施的选择与修正等提供了现实的依据。安全事件记录还必须清晰,并进行适当保存以及加以维护,使得当记录被破坏、损坏或丢失时能够容易得到挽救。

分享到:
收缩

  • 付老师:业务咨询
  • 简老师:业务咨询
  • 金老师:业务咨询
  • 徐老师:业务咨询

  • 技术支持

  • 010-83607858
  • 010-83683376