浅晰信息安全管理系统的文档要求和记录控制

设计和实施管理系统的关键原因之一是使组织能够认识自己的现状,在能力成熟度模型方面,它被称为一个“混沌”的组织。“混沌”组织没有一个固定的程序,或流程,结果很大程度上取决于人们的表现,而人们却花了很多时间在“消防救火”上,比如不停地修复软件错误和解决突发事件。对此,昆明亭长朗然科技有限公司信息安全管理学院的院长董志军表示:如何走出“混沌”的困境呢?在缺乏“法治”文化环境的亚洲国家,尤其需要注意逐渐建立并完善可执行的工作流程。那些不具执行力的,或者只是为了走走过场或者秀一秀的,就最好不要浪费人力物力去弄了。如何是“可执行”呢?很简单,对比管理流程与执行结果(记录文件)。

ISO 9001:2000是一个众所周知的获得广泛实施的质量保证或业务流程管理系统。如果该组织没有和ISO 9001认证管理体系兼容的文件控制体系,组织则应当获得ISO 27001的4.3条中涵盖的关于文档控制和记录问题的指导手册。

文档控制要求
ISO27001明确要求管理制度要记录在案。控制A.10.1.1明确要求的安全程序要被记录、维护、并提供给所有需要它们的用户。
其他在附件A中有明确的文件要求的包括:
* A.7.1.3可接受的资产使用
* A.8.1.1记录在案的人力资源安全的角色和责任
* A.11.1.1访问控制策略
* A.15.1.1鉴别适用的法律法规

许多其他的控制需要“正式”程序或者“明确”的沟通,而这些可以在技术上不被记录而实现,期望是所有的流程和程序都被记录。

ISMS文件的内容
文件必须是完整的、全面的、符合标准的要求并且适应每个组织不同的需求。符合要求的ISMS将有充分的记录。ISO 27001描述了ISMS所需的最小的文档体系,表明该组织保持了足够的记录,用以证明其遵守规定与标准。这些文件包括:
* 信息安全政策,ISMS的适用范围声明,风险评估,各种控制目标和适用性声明。总之,这些构成了ISMS的政策手册。
* 组织和它的管理层在ISMS的指定范围内采取的行动的证据(包括董事会会议和指导委员会会议的记录,以及其它的特别报告)。该标准规定,应记录管理层的决定,这样所有的行动都应追溯到这些决定和政策,任何已记录的结果应可以重复记录。
* 一个管理架构说明(包括指导委员会等等)。这和组织结构图可能是有相关的,非常有用。
* 风险处置计划和实施每一个指定的控制措施的基础文件程序(其中应包括责任和需要采取的行动)。一个程序描述包括,谁必须做什么,在什么条件下,或什么时候 以及如何做。这些程序将是政策手册的一部分,本身可以是纸张或电子的。标准还规定,选择的控制之间的关系,风险评估的结果和风险处理过程,以及ISMS的 政策和目标,都应该得到展示。
* 有关ISMS的管理和审查的治理流程应包括责任和必要的行动。
并不是所有组织都要实现一个同样复杂的文件结构。标准指出“由于组织的不同,ISMS文档深度可以有所不同,这些不同包括组织规模和活动的类型;安全需求和被管理系统的范围和复杂度。

记录控制
标准关于记录控制的要求对那些已经实施ISO 9001的人们来讲非常相似。因为4.3.3条规定,记录的保留是为了提供证据表明ISMS的符合标准的要求。在正常的期限中,组织也有法律法规监管所要 求的其它记录需要保存。这些记录是为了展示ISMS的有效性,这些记录必需得到良好控制,记录的内容要真实、准确、清晰和易于识别和检索;这就意味着,特 别是对电子记录,即使硬件和软件已经升级,对它们的访问必须得到保留。

附件A文件控制
附件A中有进一步的ISMS文档相关的控制要求。它们也是很重要的,这些控制包括:
* A.7.2.1分类指导原则,它处理保密分级
* A.7.2.2处理信息的标签,其中涉及不同保密级别的信息和信息媒介如何被标记
* A.15.1.3保护记录,其中涉及保存组织文件
* A.15.1.4数据保护和个人隐私信息。

文件层级
按照一般管理体系的惯例,通常是由四个层次构成的,不过也有小型组织将第二层和第三层综合一起以简化文档管理的:

第一级–安全政策手册
它是管理架构的摘要,其中包括了信息安全方针政策和控制措施目标,以及适用性声明中所提及已实施的控制措施。

第二级–各类程序文件
程序用来实施所要求的控制措施,描述由谁,做什么,在什么条件下或什么时候,以及如何做等的安全流程。

第三级–具体的作业指导书、检查清单等
解释特殊工作和活动的细节,以及如何完成特定的工作。包括详细的工作指导书、表单、流程图、服务标准和系统手册等。

第四级–记录文件
实施各项流程的执行记录成果,以符合上述1、2和3等级文件要求的客观证据。

补充与剖析

在实际工作中,我们可以看到:有很多专业人员不喜欢弄文档,也不喜欢受流程的“束缚”。他们觉得制作PPT、工作报告和作业记录是文职人员干的,其实这种想法非常错误。程序文件用来指导工作,文件记录是工作的输出内容之一,也是关键的证明物。因此,记录文件应该是信息安全管理工作的重要组成部分,不仅专业人员应该注意调整自己的认识,管理人员也应该特别注意文档体系和记录控制,不能仅仅交由熟练Office办公软件的下属去弄。

“混沌”的组织缺乏制度化的管理文件,也缺乏制度化管理的输出记录。“成熟”的组织也没有多么高强,只是在不断地创建和更新制度文件,并严格地执行。人是容易忘记很多事情的,也容易流失或扯皮。如果组织在信息安全管理方面有了文档记录,就相当于人类在漫长的进化过程中有了文字片的历史记录,因此可以不断促进文明向前发展。

昆明亭长朗然科技有限公司认识到制度化、流程化对于信息安全管理的重要性,因此,我们在针对全员的信息安全意识培训课程内容中特别强调安全政策标准、规范流程等的重要性,也会讲解各种安全控管措施的精要内涵,以便受众可以理解并认可相关的管控精神。我们深信,只有用户认可了信息安全要求,他们才会认真遵守。我们有大量的安全意识宣教素材内容,并不断进行开发创作中,欢迎有兴趣的客户联系我们,预览作品或进行业务合作洽谈。

昆明亭长朗然科技有限公司

  • 电话:0871-67122372
  • 手机:18206751343
  • 微信:18206751343
  • 邮箱:[email protected]
  • QQ:1767022898

安全管理与“伸手不打笑脸人”文化

在近期的一期《出彩中国人》节目中,陈凯歌讲出了“微笑”在当今中国文化的重要份量,的确,同台竞技,更有实力的往往会输于更会扮笑的。

这不禁让我想起安全管理与传统文化的关系,在职场中,微笑面对工作,微笑面对同事,微笑面对客户,无疑是一种积极向上的态度,这是不可否认的。但是安全管理却是一件严肃的事情,比如,当我们发现队伍中有危险的思想倾向或行为苗头,该不该采取纠正行动呢?当然,但是当对方微笑地向您解释和辩解的时候,您该如何办呢?在“伸手不打笑脸人”的文化中,微笑的回应无疑是一种常态。

对安全隐患进行微笑回应的力量有正反两面,微笑地向不安全理念和行为挑战,当然更容易被理解和接受;同时面对微笑,人们容易丧失原则,给对方以理解、宽容和饶恕,安全人员当然也不例外。

如同很多行贿受贿都是在“笑纳”之下进行的一样,众多安全事故的苗头也源自微笑之下的妥协。特别是在遇到批评指正时,有的人并非真心认错,只是伪装成虚心接受的样子。我们要特别小心这种“微笑陷阱”,今天妥协一次,明天放松一点,后天任性一下,安全隐患日积月累,安全事故频繁出现就不意外了。

那我们该使用什么样的态度来对待安全呢?亭长朗然公司环安云培训事业部总监董志军说:在安全沟通中,把握严肃活泼的尺度是关键。该活泼时要活泼,比如在培训课程上,就可以多些娱乐的气氛,让安全知识内容更易为大家理解和接受。在强调安全相关作业制度时,要严肃,让学员们知道很多安全要求是认真的,并不是可以随随便便的。在处理安全隐患或事故时,要严肃对待,不要轻易被笑脸迷惑,进而放松了重要的安全原则。

关于安全知识培训,常规的说教方式往往引不起人们的兴趣,除非讲者熟知安全管理问题并且具有高超的语言艺术。一种更为经济实惠,更为有效的安全意识教育方法则是通过互动性、娱乐性的在线动画教程来实现。欢迎在线体验既活泼可爱、又认真严肃的EHS环健安动画课件。

safety-culture-and-smile-effect