华道众合专业提供ISO20000认证、ISO27001认证、ISO27000认证、信息系统集成及服务资质(CCRC信息安全认证)、itss资质认证、CMMI认证、APP安全认证、商用密码产品认证在线咨询  |  公司简介  |  联系我们
10年专业ISO20000、ISO27001、ISO27000、itss、CMMI、CCRC、商用密码产品、APP安全认证咨询机构
24小时服务热线:
13681200268
4006-010-725
服务项目
最新动态
热点文章
HOME 首页 > 服务项目 > ISO27001信息安全管理体系认证 > ISO27001信息安全管理体系 要求-4.3文件要求 总则

:ISO27001信息安全管理体系 要求-4.3文件要求 总则

文章录入:华道众合   文章来源:华道众合   添加时间:2012-12-20
4.3 文件要求
4.3.1 总则
文件应包括管理决策的记录,以确保措施可以追溯到管理决策和方针。记录的结果应该
是可复制的。
重要的是要能够展示从选择的控制措施回溯到风险评估和风险处置过程结果的关系,最
终回溯到ISMS 方针和目标。
ISMS 文件应包括:
a) 形成文件的 ISMS 方针(见4.2.1b))和控制目标;
b) ISMS 范围(见4.2.1a));
c) ISMS 的支持性程序和控制;
d) 风险评估方法的描述(见 4.2.1a));
e) 风险评估报告(见 4.2.1c)到4.2.1g));
f) 风险处置计划(见 4.2.2b));
g) 组织为确保其信息安全过程的有效策划、运行和控制以及规定如何规定如何测量控
制措施有效性所需的程序文件(见4.2.3 c));
h) 本标准所要求的记录(见 4.3.3)。
i) 适用性声明。
注1:本标准出现“文件化的程序”之处,即要求建立该程序,形成文件,并加以实施和保持。
注2:不同组织的ISMS文件的详略程度不同,取决于:
--组织的规模和活动的类型;
--被管理的系统和安全要求的范围和复杂程度。
注3:文件和记录可采用任何形式的媒体。
想了解更多的关于信息可以经常关注我们