體系文件通?�?煞譃樗募壩募?/font>:
一級文件涵蓋組織ISMS總體方針��、目標����、組織結構以及政策適用聲明等內容�,是指導性文件����;
二級文件體現的是ISO27001標準各控制域的管理策略�,是從要求層面考慮的�;
三級文件是安全控制措施與組織業(yè)務(wù)流程相結合的管理程序����,一定程度上可以看作是執行層面上的業(yè)務(wù)流程安全控制措施指導書(shū)或業(yè)務(wù)安全操作流程手冊�;
四級文件是一些管理程序對應存在的工具模板�����、記錄�、表單等�����。當然����,組織的ISMS文件形式上并非一定要拘泥于上述劃分�����,但應確保滿(mǎn)足標準的各項要求����。
體系文件建設的難點(diǎn)在于安全控制項(要求)與組織既有業(yè)務(wù)流程的契合度是否足夠高�����,許多組織存在將標準中控制要求“填鴨式”地“組裝”到現有流程當中而不考慮業(yè)務(wù)的兼容性�,這樣的制度文檔通??此啤捌痢?�,但事實(shí)上在業(yè)務(wù)執行過(guò)程當中會(huì )產(chǎn)生諸多不合理的要求與步驟����,幾乎不具有實(shí)踐意義��。
程序文件編纂過(guò)程中的一個(gè)關(guān)鍵點(diǎn)在于梳理角色職責的映射關(guān)系(RACI)�����。在ISMS的建設過(guò)程中��,由于在不同業(yè)務(wù)環(huán)節中增加了部分安全控制措施���,或多或少地會(huì )延長(cháng)相關(guān)業(yè)務(wù)流程��,而若這些新增的安全控制措施責任人(包括實(shí)施者)不明確��,則勢必會(huì )造成業(yè)務(wù)混亂��、角色/部門(mén)間的矛盾甚至是安全控制措施的真空���。所以在每份程序文件中�,角色與職責的對應矩陣都應被清晰的展示�,這也是程序文件具有可操作性的必要前提�����。
再者�����,程序文件中業(yè)務(wù)流程安全控制的可檢查性同樣是信息安全管理體系落地的關(guān)鍵�����。不同安全控制措施的有效性需要通過(guò)對應的檢查流程進(jìn)行驗證��,必要時(shí)可附加四級文件描述相關(guān)的檢查標準(定期���、定量�����、定點(diǎn)等)�。由于檢查工作也是需要對應到相關(guān)責任人(包括實(shí)施者)����,可操作性同樣必不可少(RACI中體現)�。
★重慶智匯源認證電話(huà):139-8308-6348★認證范圍★重慶CMA認證★重慶ISO17025認證★重慶CNAS認證★重慶API認證★重慶特種設備生產(chǎn)許可證★重慶軍標認證★重慶保密認證★重慶CCC認證★重慶CCCF認證★重慶CCS認證★重慶CRCC認證★重慶AS9100認證★重慶16949認證★重慶LA認證★