由 猿小六 对于定义的每个控制,必须有相应的策略声明,在某些情况下,还必须有详细的过程。政策和流程由受影响的人员使用,以便他们了解自己的角色,从而能够一致地实施控制措施。
政策和流程的文档化是 ISO/IEC 27001 的要求。
输入
为了帮助您确定哪些过程可能需要记录,请参阅您的适用性声明。
为了帮助您编写流程,使它们在内容和外观上保持一致,您可能需要创建一些类型的模板供流程编写人员使用。
输出
附加的政策和流程文件。文件的数量取决于组织的要求。
其中一些流程还可能生成记录。例如,如果您有一个流程,要求所有到您工厂的访客必须在访客日志上签名,那么该日志本身就成为一种记录,提供了遵循该流程的证据。
ISO/IEC 27001 第 4.3.2 和 4.3.3 节要求 ISMS 的所有文件和记录应得到适当的控制。因此,还必须创建政策和流程文件来处理这些控制。
案例
作为 ISMS 的一部分,您需要的策略、流程和记录的数量将取决于许多因素,包括您需要保护的资产的数量和您需要实施的控制措施的复杂度。下面的案例显示了一个组织的文档集的部分列表:
- 安全手册
- 安全策略
- 风险评估方法
- 风险评估报告,资产清单和处理计划
- 适用性声明
- 角色和职责文档
- 流程一:工作场所安全
- 流程二:文件和记录控制
- 流程三:培训
- 流程四:服务器备份
- 流程五:审核程序
- 记录:
- 审计计划
- 员工培训记录
- 员工评估/评价记录
- 问题/不合格
- 服务器维护记录
- 管理评审记录