:ISO27001信息安全管理体系 要求-4.3文件要求 总则
添加时间:2012-12-20
4.3 文件要求
4.3.1 总则
文件应包括管理决策的记录,以确保措施可以追溯到管理决策和方针。记录的结果应该
是可复制的。
重要的是要能够展示从选择的控制措施回溯到风险评估和风险处置过程结果的关系,最
终回溯到ISMS 方针和目标。
ISMS 文件应包括:
a) 形成文件的 ISMS 方针(见4.2.1b))和控制目标;
b) ISMS 范围(见4.2.1a));
c) ISMS 的支持性程序和控制;
d) 风险评估方法的描述(见 4.2.1a));
e) 风险评估报告(见 4.2.1c)到4.2.1g));
f) 风险处置计划(见 4.2.2b));
g) 组织为确保其信息安全过程的有效策划、运行和控制以及规定如何规定如何测量控
制措施有效性所需的程序文件(见4.2.3 c));
h) 本标准所要求的记录(见 4.3.3)。
i) 适用性声明。
注1:本标准出现“文件化的程序”之处,即要求建立该程序,形成文件,并加以实施和保持。
注2:不同组织的ISMS文件的详略程度不同,取决于:
--组织的规模和活动的类型;
--被管理的系统和安全要求的范围和复杂程度。
注3:文件和记录可采用任何形式的媒体。
4.3.1 总则
文件应包括管理决策的记录,以确保措施可以追溯到管理决策和方针。记录的结果应该
是可复制的。
重要的是要能够展示从选择的控制措施回溯到风险评估和风险处置过程结果的关系,最
终回溯到ISMS 方针和目标。
ISMS 文件应包括:
a) 形成文件的 ISMS 方针(见4.2.1b))和控制目标;
b) ISMS 范围(见4.2.1a));
c) ISMS 的支持性程序和控制;
d) 风险评估方法的描述(见 4.2.1a));
e) 风险评估报告(见 4.2.1c)到4.2.1g));
f) 风险处置计划(见 4.2.2b));
g) 组织为确保其信息安全过程的有效策划、运行和控制以及规定如何规定如何测量控
制措施有效性所需的程序文件(见4.2.3 c));
h) 本标准所要求的记录(见 4.3.3)。
i) 适用性声明。
注1:本标准出现“文件化的程序”之处,即要求建立该程序,形成文件,并加以实施和保持。
注2:不同组织的ISMS文件的详略程度不同,取决于:
--组织的规模和活动的类型;
--被管理的系统和安全要求的范围和复杂程度。
注3:文件和记录可采用任何形式的媒体。
关于“ISO27001信息安全管理体系认证咨询”的相关资讯
