體系文件通??煞譃樗募?jí)文件:
一級(jí)文件涵蓋組織ISMS總體方針��、目標(biāo)���、組織結(jié)構(gòu)以及政策適用聲明等內(nèi)容,是指導(dǎo)性文件�;
二級(jí)文件體現(xiàn)的是ISO27001標(biāo)準(zhǔn)各控制域的管理策略�,是從要求層面考慮的;
三級(jí)文件是安全控制措施與組織業(yè)務(wù)流程相結(jié)合的管理程序�����,一定程度上可以看作是執(zhí)行層面上的業(yè)務(wù)流程安全控制措施指導(dǎo)書(shū)或業(yè)務(wù)安全操作流程手冊(cè)����;
四級(jí)文件是一些管理程序?qū)?yīng)存在的工具模板��、記錄��、表單等����。當(dāng)然���,組織的ISMS文件形式上并非一定要拘泥于上述劃分,但應(yīng)確保滿足標(biāo)準(zhǔn)的各項(xiàng)要求�����。
體系文件建設(shè)的難點(diǎn)在于安全控制項(xiàng)(要求)與組織既有業(yè)務(wù)流程的契合度是否足夠高�,許多組織存在將標(biāo)準(zhǔn)中控制要求“填鴨式”地“組裝”到現(xiàn)有流程當(dāng)中而不考慮業(yè)務(wù)的兼容性��,這樣的制度文檔通?���?此啤捌痢保聦?shí)上在業(yè)務(wù)執(zhí)行過(guò)程當(dāng)中會(huì)產(chǎn)生諸多不合理的要求與步驟����,幾乎不具有實(shí)踐意義���。
程序文件編纂過(guò)程中的一個(gè)關(guān)鍵點(diǎn)在于梳理角色職責(zé)的映射關(guān)系(RACI)。在ISMS的建設(shè)過(guò)程中���,由于在不同業(yè)務(wù)環(huán)節(jié)中增加了部分安全控制措施,或多或少地會(huì)延長(zhǎng)相關(guān)業(yè)務(wù)流程�,而若這些新增的安全控制措施責(zé)任人(包括實(shí)施者)不明確��,則勢(shì)必會(huì)造成業(yè)務(wù)混亂���、角色/部門間的矛盾甚至是安全控制措施的真空���。所以在每份程序文件中,角色與職責(zé)的對(duì)應(yīng)矩陣都應(yīng)被清晰的展示����,這也是程序文件具有可操作性的必要前提。
再者��,程序文件中業(yè)務(wù)流程安全控制的可檢查性同樣是信息安全管理體系落地的關(guān)鍵。不同安全控制措施的有效性需要通過(guò)對(duì)應(yīng)的檢查流程進(jìn)行驗(yàn)證��,必要時(shí)可附加四級(jí)文件描述相關(guān)的檢查標(biāo)準(zhǔn)(定期�、定量、定點(diǎn)等)�。由于檢查工作也是需要對(duì)應(yīng)到相關(guān)責(zé)任人(包括實(shí)施者)���,可操作性同樣必不可少(RACI中體現(xiàn))。
★重慶智匯源認(rèn)證服務(wù)電話:139-8308-6348★認(rèn)證范圍★重慶CMA認(rèn)證★重慶ISO17025認(rèn)證★重慶CNAS認(rèn)證★重慶API認(rèn)證★美國(guó)石油學(xué)會(huì)API認(rèn)證★重慶特種設(shè)備生產(chǎn)許可證★重慶軍標(biāo)認(rèn)證★重慶GJB9001認(rèn)證★重慶保密認(rèn)證★重慶CCC認(rèn)證★重慶CCCF認(rèn)證★重慶CCS認(rèn)證★重慶CRCC認(rèn)證★重慶AS9100認(rèn)證★重慶16949認(rèn)證★