证书查询  |  加入收藏  |  给我留言

如何建立信息安全管理体系(ISMS)

作者 Admin 来源 本站 浏览 发布时间 2011/06/13

有效性测量程序
9)  管理评审程序
10) 适用性声明 

(3)  任意的文件  

    除了上述必须的文件外,组织可以根据其实际的业务活动和风险的需要,而确定某些文件(包括某些程序文件和方针类文件)。这些文件就是所谓的任意的文件(Discretionary documents)。这类文件的内容可随组织的不同而有所不同,主要取决于:
1)  组织的业务活动及风险;
2)  安全要求的严格程度;
3)  管理的体系的范围和复杂程度。
    这里,需要特别提出的是,ISMS的特点之一是风险评估和风险管理。组织需要哪些ISMS文件及其复杂程度如何,通常可根据风险评估决定。如果风险评估的结果,发现有不可接受的风险,那么就应识别处理这些风险的可能方法,包括形成相关文件。

(4)文件的符合性  

ISMS文件的符合性包括符合相关法律法规的要求、符合ISO/IEC 27001:2005标准4-8章的所有要求和符合本组织的实际要求。为此:

1)  参考相关法律法规要求和标准要求

    在编写ISMS文件时,编写者应参考相关法律法规要求和标准的相应条款的要求,例如,在编写ISMS方针时,要参考ISO/IEC 27001 “4.2.1b) 定义ISMS方针”;编写适用性声明时,要参考ISO/IEC 27001 “4.2.1 j) 准备适用性声明”;编写文件控制程序时,要参考ISO/IEC 27001 “4.3.2文件控制”等等。

2)  文件化本组织的最好实践

    为了易于操作,编写者最好把本组织当前的最好实践写下来,补充标准的要求,形成统一格式的文件。

3)  保持一致性

    a) 同一个文件中,上下文不能有不一致(或矛盾)的地方
    b) 同一个体系的不同文件之间不能有矛盾的地方
    c) 不同体系的文件之间不能有不一致的地方
    如果组织同时运行多个管理体系,例如质量管理体系(QMS)、环境管理体系(EMS)和ISMS等,那么各个体系的文件之间应相互协调,避免产生不一致的地方。此外,在文字的表达上,应准确,无二义。

 

相关文章
推荐文章
Copyright ◎ 2004-2024 www.isoccc.org All Rights Have Been Reserved. 沪ICP备10013235号-1 沪公网安备 31011202010868号
本网站未注明出处的信息及其版权均属于上海行为企业管理咨询服务有限公司所有,未经授权不得转载,违者必将追究法律责任!