建立ISO27001信息安全管理体系的文档化与记录

信息安全管理体系

您当前所在位置：首页 > 常见问题&知识园地 > 信息安全管理体系

建立ISO27001信息安全管理体系的文档化与记录

发布时间： 2018-04-22 16:10:54

ISO27001信息安全管理框架的建设只是建设信息安全管理体系ISMS的第一步。在具体实施ISO27001信息安全管理体系的过程中，还必须充分考虑其他方面的因素，如实施的各项费用因素（培训费、报告费等）、与组织员工原有工作习惯的冲突、不同部门/机构之间在实施过程中的相互协作问题等。

组织要按照所选择的控制目标和控制方式进行有效的安全控制，即按照策略、程序等要求展开信息处理、安全管理等各项活动。实施的有效性包括两方面的含义，一是控制活动应严格按要求执行；二是活动的结果应达到预期的目标要求，即风险控制的结果是可接受的。

文档化

在信息安全管理体系ISMS构建和实施的过程中，还必须建立起各种相关的文档、文件，如ISMS管理范围中所规定的文档内容、对管理框架的总结、在信息安全管理体系ISMS管理范围内规定的管制采取过程、信息安全管理体系ISMS管理和具体操作的过程等。文档可以以各种形式进行保存，但必须划分为不同的等级和类型。同时，为了今后信息安全认证工作的顺利进行，文档还必须能够非常容易地被指定的第三方访问和理解。信息安全管理体系的文档层次结构如下图所示。

信息安全管理体系的文档层次结构图

在建立起各种文档之后，组织还必须对它进行严格的管理，并结合组织业务和规模的变化，对文档进行有规律、周期性的回顾和修正。当某些文档不再适合组织的信息安全策略需求时，就必须将其废止。

记录

组织应对实施ISO27001信息安全管理体系ISMS过程中发生的各种与信息安全有关的事件进行全面记录。安全事件的记录对高效实现信息安全管理体系ISMS具有很重要的作用，它为组织进行信息安全策略的定义、安全管理措施的选择与修正等提供了现实的依据。安全事件记录还必须清晰，并进行适当保存以及加以维护，使得当记录被破坏、损坏或丢失时能够容易得到挽救。

返回上一级