13 13 信息安全管理体系程序文件信息安全管理体系程序文件
ISO/IEC27001标准4.3.1条提出了建立和实施信息安全管理体系的文件要求,其中要求编制支持信息安全管理体系的程序和组织为确保其信息安全过程有效策划、运作和控制及如何测量控制措施有效性所需的文件化的程序。
本章提供了部分程序的文件模板,也许对某一个或某一类组织是可行的,但这些程序文件模板仅仅是模板或格式,将所有组织的信息安全管理体系实施控制标准化是不现实的,因此,仅能供组织建立、实施信息安全管理体系控制措施时参考。ISO/IEC27001标准明确指出:一个组织的信息安全管理体系的设计和实施受业务需求和目标、安全要求、所采用的过程以及组织的规模和结构的影响。上述因素及其支持过程会不断发生变化。期望组织根据需求建立和实施信息安全管理体系,例如简单的情形可采用简单的信息安全管理体系解决方案。
因此,组织应该根据自己的法律法规、客户要求、组织结构、地理位置、业务需求、控制目标、资产和技术、信息安全风险来策划自己的、适用的信息安全管理体系文件结构和程序文件。
本章仅提供了一部分程序的文件模板,组织的信息安全管理体系文件结构和形式千变万化,其程序文件也千差万别。组织可以就ISO/IEC27001标准附录A中的几项相关的控制目标形成一个程序文件,如《人力资源管理程序》;也可以就1项控制目标形成一个程序文件,如《员工聘用管理程序》;也可以就其中1项控制措施形成一个程序文件,如《信息安全惩戒管理程序》;也可以就相关的1项控制目标和1项或几项控制措施共同形成一个程序文件;如《第三方服务管理程序》;还可以将1项控制措施中逻辑上可分的管理内容分成不同的程序文件,如《传输线路管理程序》和《综合布线管理程序》。因此,组织应根据组织结构、规模、资产和技术来进行策划,以适宜于组织运行的方式形成文件结构。下载本文
