400-009-6664

专注于IT服务的科技咨询公司

行业知识

您当前位置 > 主页 > 资讯中心 > 行业知识 > 详情

建立ISO27001信息安全管理体系的文档化与记录

ISO27001

    ISO27001信息安全管理框架的建设只是建设信息安全管理体系ISMS的第一步。在具体实施ISO27001信息安全管理体系的过程中,还必须充分考虑其他方面的因素,如实施的各项费用因素(培训费、报告费等)、与组织员工原有工作习惯的冲突、不同部门/机构之间在实施过程中的相互协作问题等。
    组织要按照所选择的控制目标和控制方式进行有效的安全控制,即按照策略、程序等要求展开信息处理、安全管理等各项活动。实施的有效性包括两方面的含义,一是控制活动应严格按要求执行;二是活动的结果应达到预期的目标要求,即风险控制的结果是可接受的。
    文档化 
    在信息安全管理体系ISMS构建和实施的过程中,还必须建立起各种相关的文档、文件,如ISMS管理范围中所规定的文档内容、对管理框架的总结、在信息安全管理体系ISMS管理范围内规定的管制采取过程、信息安全管理体系ISMS管理和具体操作的过程等。文档可以以各种形式进行保存,但必须划分为不同的等级和类型。同时,为了今后信息安全认证工作的顺利进行,文档还必须能够非常容易地被指定的第三方访问和理解。信息安全管理体系的文档层次结构如下图所示。
信息安全管理体系的文档层次结构图
信息安全管理体系的文档层次结构图
    在建立起各种文档之后,组织还必须对它进行严格的管理,并结合组织业务和规模的变化,对文档进行有规律、周期性的回顾和修正。当某些文档不再适合组织的信息安全策略需求时,就必须将其废止。
   记录 
   组织应对实施ISO27001信息安全管理体系ISMS过程中发生的各种与信息安全有关的事件进行全面记录。安全事件的记录对高效实现信息安全管理体系ISMS具有很重要的作用,它为组织进行信息安全策略的定义、安全管理措施的选择与修正等提供了现实的依据。安全事件记录还必须清晰,并进行适当保存以及加以维护,使得当记录被破坏、损坏或丢失时能够容易得到挽救。
    阿斯科科技主要从事CMMIITSSISO27001认证、ISO20000认证等IT体系咨询,信息安全服务资质(CCRC)咨询服务以及IT培训服务等.欢迎咨询:400-009-6664

阅读上一篇新闻:ISO27001改进的中小企业信息安全管理模型      阅读下一篇新闻:CCRC信息安全服务资质监督审核时有什么要求?

服务案例查看更多