如何建立信息安全管理体系(ISMS)
有效性测量程序
9) 管理评审程序
10) 适用性声明
(3) 任意的文件
除了上述必须的文件外,组织可以根据其实际的业务活动和风险的需要,而确定某些文件(包括某些程序文件和方针类文件)。这些文件就是所谓的任意的文件(Discretionary documents)。这类文件的内容可随组织的不同而有所不同,主要取决于:
1) 组织的业务活动及风险;
2) 安全要求的严格程度;
3) 管理的体系的范围和复杂程度。
这里,需要特别提出的是,ISMS的特点之一是风险评估和风险管理。组织需要哪些ISMS文件及其复杂程度如何,通常可根据风险评估决定。如果风险评估的结果,发现有不可接受的风险,那么就应识别处理这些风险的可能方法,包括形成相关文件。
(4)文件的符合性
ISMS文件的符合性包括符合相关法律法规的要求、符合ISO/IEC 27001:2005标准4-8章的所有要求和符合本组织的实际要求。为此:
1) 参考相关法律法规要求和标准要求
在编写ISMS文件时,编写者应参考相关法律法规要求和标准的相应条款的要求,例如,在编写ISMS方针时,要参考ISO/IEC 27001 “4.2.1b) 定义ISMS方针”;编写适用性声明时,要参考ISO/IEC 27001 “4.2.1 j) 准备适用性声明”;编写文件控制程序时,要参考ISO/IEC 27001 “4.3.2文件控制”等等。
2) 文件化本组织的最好实践
为了易于操作,编写者最好把本组织当前的最好实践写下来,补充标准的要求,形成统一格式的文件。
3) 保持一致性
a) 同一个文件中,上下文不能有不一致(或矛盾)的地方
b) 同一个体系的不同文件之间不能有矛盾的地方
c) 不同体系的文件之间不能有不一致的地方
如果组织同时运行多个管理体系,例如质量管理体系(QMS)、环境管理体系(EMS)和ISMS等,那么各个体系的文件之间应相互协调,避免产生不一致的地方。此外,在文字的表达上,应准确,无二义。