10年专业ISO20000、ISO27001、ISO27000、itss、CMMI、CCRC、商用密码产品、APP安全认证咨询机构服务项目
最新动态
热点文章
首页 > 服务项目 > ISO27001信息安全管理体系认证咨询 > ISO27001信息安全管理体系 要求-4.3文件要求 总则:ISO27001信息安全管理体系 要求-4.3文件要求 总则
4.3 文件要求
4.3.1 总则
文件应包括管理决策的记录,以确保措施可以追溯到管理决策和方针。记录的结果应该
是可复制的。
重要的是要能够展示从选择的控制措施回溯到风险评估和风险处置过程结果的关系,最
终回溯到ISMS 方针和目标。
ISMS 文件应包括:
a) 形成文件的 ISMS 方针(见4.2.1b))和控制目标;
b) ISMS 范围(见4.2.1a));
c) ISMS 的支持性程序和控制;
d) 风险评估方法的描述(见 4.2.1a));
e) 风险评估报告(见 4.2.1c)到4.2.1g));
f) 风险处置计划(见 4.2.2b));
g) 组织为确保其信息安全过程的有效策划、运行和控制以及规定如何规定如何测量控
制措施有效性所需的程序文件(见4.2.3 c));
h) 本标准所要求的记录(见 4.3.3)。
i) 适用性声明。
注1:本标准出现“文件化的程序”之处,即要求建立该程序,形成文件,并加以实施和保持。
注2:不同组织的ISMS文件的详略程度不同,取决于:
--组织的规模和活动的类型;
--被管理的系统和安全要求的范围和复杂程度。
注3:文件和记录可采用任何形式的媒体。
4.3.1 总则
文件应包括管理决策的记录,以确保措施可以追溯到管理决策和方针。记录的结果应该
是可复制的。
重要的是要能够展示从选择的控制措施回溯到风险评估和风险处置过程结果的关系,最
终回溯到ISMS 方针和目标。
ISMS 文件应包括:
a) 形成文件的 ISMS 方针(见4.2.1b))和控制目标;
b) ISMS 范围(见4.2.1a));
c) ISMS 的支持性程序和控制;
d) 风险评估方法的描述(见 4.2.1a));
e) 风险评估报告(见 4.2.1c)到4.2.1g));
f) 风险处置计划(见 4.2.2b));
g) 组织为确保其信息安全过程的有效策划、运行和控制以及规定如何规定如何测量控
制措施有效性所需的程序文件(见4.2.3 c));
h) 本标准所要求的记录(见 4.3.3)。
i) 适用性声明。
注1:本标准出现“文件化的程序”之处,即要求建立该程序,形成文件,并加以实施和保持。
注2:不同组织的ISMS文件的详略程度不同,取决于:
--组织的规模和活动的类型;
--被管理的系统和安全要求的范围和复杂程度。
注3:文件和记录可采用任何形式的媒体。
想了解更多的关于信息可以经常关注我们
【相关文章】
