體系文件通常可分為四級文件:
一級文件涵蓋組織ISMS總體方針、目標、組織結構以及政策適用聲明等內容,是指導性文件;
二級文件體現的是ISO27001標準各控制域的管理策略,是從要求層面考慮的;
三級文件是安全控制措施與組織業務流程相結合的管理程序,一定程度上可以看作是執行層面上的業務流程安全控制措施指導書或業務安全操作流程手冊;
四級文件是一些管理程序對應存在的工具模板、記錄、表單等。當然,組織的ISMS文件形式上并非一定要拘泥于上述劃分,但應確保滿足標準的各項要求。
體系文件建設的難點在于安全控制項(要求)與組織既有業務流程的契合度是否足夠高,許多組織存在將標準中控制要求“填鴨式”地“組裝”到現有流程當中而不考慮業務的兼容性,這樣的制度文檔通常看似“漂亮”,但事實上在業務執行過程當中會產生諸多不合理的要求與步驟,幾乎不具有實踐意義。
程序文件編纂過程中的一個關鍵點在于梳理角色職責的映射關系(RACI)。在ISMS的建設過程中,由于在不同業務環節中增加了部分安全控制措施,或多或少地會延長相關業務流程,而若這些新增的安全控制措施責任人(包括實施者)不明確,則勢必會造成業務混亂、角色/部門間的矛盾甚至是安全控制措施的真空。所以在每份程序文件中,角色與職責的對應矩陣都應被清晰的展示,這也是程序文件具有可操作性的必要前提。
再者,程序文件中業務流程安全控制的可檢查性同樣是信息安全管理體系落地的關鍵。不同安全控制措施的有效性需要通過對應的檢查流程進行驗證,必要時可附加四級文件描述相關的檢查標準(定期、定量、定點等)。由于檢查工作也是需要對應到相關責任人(包括實施者),可操作性同樣必不可少(RACI中體現)。
★重慶智匯源認證服務電話:139-8308-6348★認證范圍★重慶CMA認證★重慶ISO17025認證★重慶CNAS認證★重慶API認證★美國石油學會API認證★重慶特種設備生產許可證★重慶軍標認證★重慶GJB9001認證★重慶保密認證★重慶CCC認證★重慶CCCF認證★重慶CCS認證★重慶CRCC認證★重慶AS9100認證★重慶16949認證★