如何建立信息安全管理体系(ISMS)
序类文件(Procedures)
“程序文件”有时又称作“过程文件”,包含着为达到某个特定目的,而对一系列活动(或过程)的顺序进行控制。有输入-处理-输出。所产生的输出通常是“记录”。
3) 记录(Records)
记录是提供客观证据的一种特殊类型的文件。通常, 记录发生于过去,是相关程序文件运行产生的结果(或输出)。记录通常是表格形式。
4) 适用性声明文件(Statement of Applicability, 简称SOA)
ISO/IEC 27001:2005标准的附录A提供许多控制目标和控制措施。这些控制目标和控制措施是最佳实践。对于这些控制目标和控制措施,实施ISMS的组织只要有正当性理由,可以只选择适合本组织使用的那些部分,而不适合使用的部分,可以不选择。选择,或不选择,要做出声明(说明),并形成《适用性声明》文件。
(2) 必须的文件
“必须的ISMS文件”是指ISO/IEC 27001:2005“4.3.1总则”明确规定的,一定要有的文件。这些文件就是所谓的强制性文件(mandatory documents)。“4.3.1总则”要求ISMS文件必须包括9方面的内容:
1) ISMS方针
ISMS方针是组织的顶级文件,规定该组织如何管理和保护其信息资产的原则和方向,以及各方面人员的职责等。
2) ISMS的范围
3) 支持ISMS的程序和控制措施;
4) 风险评估方法的描述;
5) 风险评估报告;
6) 风险处理计划;
7) 控制措施有效性的测量程序;
8) 本标准所要求的记录;
9) 适用性声明。
在实际工作中,上述内容经过归纳和整理后,可用以下文件表示:
1) ISMS方针文件,包括ISMS的范围;
2) 风险评估程序,包括“风险评估方法的描述”,而其运行的结果产生《风险评估报告》。
3) 风险处理程序,运行的结果产生《风险处理计划》。
4) 文件控制程序;
5) 记录控制程序;
6) 内部审核程序;
7) 纠正措施与预防措施程序;
8) 控制措施