服务项目

ISO27001认证：如何理解“7.5 文件化信息”条款？

文章录入：华道众合文章来源：华道众合添加时间：2021-1-21

1. 总则

（1）组织应确定对ISO27001信息安全管理体系有效性和符合要求而言所必要的形成文件的信息，必要时还应考虑纳入外部文件化信息。

（2）迄今为止，许多使用ISO27001的组织已为其ISMS制定了书面程序和记录。使用形成文件的信息这一说法并不改变上述内容；这种替代说法更多反映了许多组织使用电子媒介手段记录支持其过程、ISMS运行的数据和信息的发展状态和实践。

（3）不同组织根据其运作和过程的规模和复杂程度以及人员的能力，形成文件的程度各异。

2. 创建和更新

（1）在创建和更新形成文件化的信息时，组织应决定形成文件化信息所适用的标识、格式和媒介，以及如何评审和批准这些信息。

（2）根据组织所运行的过程和体系的不同，组织在创建和更新形成文件化的信息时所采用的方式和手段也不尽相同。组织可使用电子手段，包括允许编辑和批准，也可以使用硬拷贝系统，并以书面形式规定发布，评审和控制文件的职责。

3. 形成文件化信息的控制

（1）确保在需要时形成文件化信息，以适当形式提供，并对形成文件化信息进行充分保护。

根据形成文件化信息的所用方法，组织需要考虑控制的级别，以确保形成文件的信息得到了适当的控制。控制包括可提供性（可用性）、分发和保护（例如防止信息丢失，不当使用和非预期的修改）。

（2）对形成文件的信息的控制还包括分发、访问、检索和使用、存储和防护、变更控制、保留和处置。这也同样适用于由组织确定的对于ISMS的策划和运行而言必要的外部文件。

在建立了控制形成文件的信息分发和访问的系统后，组织需考虑如何存储、维护及随着时间推移在必要时处置信息。

想了解更多的关于ISO27001认证信息可以经常关注我们

【相关文章】