浅晰信息安全管理系统的文档要求和记录控制

设计和实施管理系统的关键原因之一是使组织能够认识自己的现状,在能力成熟度模型方面,它被称为一个“混沌”的组织。“混沌”组织没有一个固定的程序,或流程,结果很大程度上取决于人们的表现,而人们却花了很多时间在“消防救火”上,比如不停地修复软件错误和解决突发事件。对此,昆明亭长朗然科技有限公司信息安全管理学院的院长董志军表示:如何走出“混沌”的困境呢?在缺乏“法治”文化环境的亚洲国家,尤其需要注意逐渐建立并完善可执行的工作流程。那些不具执行力的,或者只是为了走走过场或者秀一秀的,就最好不要浪费人力物力去弄了。如何是“可执行”呢?很简单,对比管理流程与执行结果(记录文件)。

ISO 9001:2000是一个众所周知的获得广泛实施的质量保证或业务流程管理系统。如果该组织没有和ISO 9001认证管理体系兼容的文件控制体系,组织则应当获得ISO 27001的4.3条中涵盖的关于文档控制和记录问题的指导手册。

文档控制要求
ISO27001明确要求管理制度要记录在案。控制A.10.1.1明确要求的安全程序要被记录、维护、并提供给所有需要它们的用户。
其他在附件A中有明确的文件要求的包括:
* A.7.1.3可接受的资产使用
* A.8.1.1记录在案的人力资源安全的角色和责任
* A.11.1.1访问控制策略
* A.15.1.1鉴别适用的法律法规

许多其他的控制需要“正式”程序或者“明确”的沟通,而这些可以在技术上不被记录而实现,期望是所有的流程和程序都被记录。

ISMS文件的内容
文件必须是完整的、全面的、符合标准的要求并且适应每个组织不同的需求。符合要求的ISMS将有充分的记录。ISO 27001描述了ISMS所需的最小的文档体系,表明该组织保持了足够的记录,用以证明其遵守规定与标准。这些文件包括:
* 信息安全政策,ISMS的适用范围声明,风险评估,各种控制目标和适用性声明。总之,这些构成了ISMS的政策手册。
* 组织和它的管理层在ISMS的指定范围内采取的行动的证据(包括董事会会议和指导委员会会议的记录,以及其它的特别报告)。该标准规定,应记录管理层的决定,这样所有的行动都应追溯到这些决定和政策,任何已记录的结果应可以重复记录。
* 一个管理架构说明(包括指导委员会等等)。这和组织结构图可能是有相关的,非常有用。
* 风险处置计划和实施每一个指定的控制措施的基础文件程序(其中应包括责任和需要采取的行动)。一个程序描述包括,谁必须做什么,在什么条件下,或什么时候 以及如何做。这些程序将是政策手册的一部分,本身可以是纸张或电子的。标准还规定,选择的控制之间的关系,风险评估的结果和风险处理过程,以及ISMS的 政策和目标,都应该得到展示。
* 有关ISMS的管理和审查的治理流程应包括责任和必要的行动。
并不是所有组织都要实现一个同样复杂的文件结构。标准指出“由于组织的不同,ISMS文档深度可以有所不同,这些不同包括组织规模和活动的类型;安全需求和被管理系统的范围和复杂度。

记录控制
标准关于记录控制的要求对那些已经实施ISO 9001的人们来讲非常相似。因为4.3.3条规定,记录的保留是为了提供证据表明ISMS的符合标准的要求。在正常的期限中,组织也有法律法规监管所要 求的其它记录需要保存。这些记录是为了展示ISMS的有效性,这些记录必需得到良好控制,记录的内容要真实、准确、清晰和易于识别和检索;这就意味着,特 别是对电子记录,即使硬件和软件已经升级,对它们的访问必须得到保留。

附件A文件控制
附件A中有进一步的ISMS文档相关的控制要求。它们也是很重要的,这些控制包括:
* A.7.2.1分类指导原则,它处理保密分级
* A.7.2.2处理信息的标签,其中涉及不同保密级别的信息和信息媒介如何被标记
* A.15.1.3保护记录,其中涉及保存组织文件
* A.15.1.4数据保护和个人隐私信息。

文件层级
按照一般管理体系的惯例,通常是由四个层次构成的,不过也有小型组织将第二层和第三层综合一起以简化文档管理的:

第一级–安全政策手册
它是管理架构的摘要,其中包括了信息安全方针政策和控制措施目标,以及适用性声明中所提及已实施的控制措施。

第二级–各类程序文件
程序用来实施所要求的控制措施,描述由谁,做什么,在什么条件下或什么时候,以及如何做等的安全流程。

第三级–具体的作业指导书、检查清单等
解释特殊工作和活动的细节,以及如何完成特定的工作。包括详细的工作指导书、表单、流程图、服务标准和系统手册等。

第四级–记录文件
实施各项流程的执行记录成果,以符合上述1、2和3等级文件要求的客观证据。

补充与剖析

在实际工作中,我们可以看到:有很多专业人员不喜欢弄文档,也不喜欢受流程的“束缚”。他们觉得制作PPT、工作报告和作业记录是文职人员干的,其实这种想法非常错误。程序文件用来指导工作,文件记录是工作的输出内容之一,也是关键的证明物。因此,记录文件应该是信息安全管理工作的重要组成部分,不仅专业人员应该注意调整自己的认识,管理人员也应该特别注意文档体系和记录控制,不能仅仅交由熟练Office办公软件的下属去弄。

“混沌”的组织缺乏制度化的管理文件,也缺乏制度化管理的输出记录。“成熟”的组织也没有多么高强,只是在不断地创建和更新制度文件,并严格地执行。人是容易忘记很多事情的,也容易流失或扯皮。如果组织在信息安全管理方面有了文档记录,就相当于人类在漫长的进化过程中有了文字片的历史记录,因此可以不断促进文明向前发展。

昆明亭长朗然科技有限公司认识到制度化、流程化对于信息安全管理的重要性,因此,我们在针对全员的信息安全意识培训课程内容中特别强调安全政策标准、规范流程等的重要性,也会讲解各种安全控管措施的精要内涵,以便受众可以理解并认可相关的管控精神。我们深信,只有用户认可了信息安全要求,他们才会认真遵守。我们有大量的安全意识宣教素材内容,并不断进行开发创作中,欢迎有兴趣的客户联系我们,预览作品或进行业务合作洽谈。

昆明亭长朗然科技有限公司

  • 电话:0871-67122372
  • 手机:18206751343
  • 微信:18206751343
  • 邮箱:[email protected]
  • QQ:1767022898