在 ISO 27001 的迷宫中,有一个条款经常让人头疼,那就是第 7.5 条--记录的信息。既要记录足够的信息,又不能记录过多的信息,这是一个长期存在的难题。让我们来揭开这一条款的神秘面纱,了解 ISO 27001:2022 的要求以及如何在文档迷宫中穿行。
了解标准的要求
条款 7.5 可归结为两个关键部分:
- ISO 27001 要求的文档信息
- 组织认为有效运行信息安全管理系统(ISMS)所需的文档信息。
第 1 部分: 相对简单。该标准规定了强制性文档,并在相关条款中予以明确,包括组织必须保留的任何记录或结果。
第 2 部分: 却为复杂性打开了大门。它要求组织根据自身的独特需求,并考虑员工规模和流程复杂性等因素,确定文档的级别。这就需要制定一份强有力的 "适用性声明"(SoA),从附件 A 中确定适用的控制措施,从而为有效的 ISMS 制定文档。
编写有效的文档
在创建或更新文档时,ISO 27001 要求具备三个基本要素:
- 清晰的描述和标识符, 如标题、参考编号。
- 格式适合受众, 如语言、媒体。
- 定期审查和批准适用性的证据。
为了有效管理,使用 SharePoint 或 Wiki 等文件管理工具可以提供一致的格式,方便电子盖章,并纳入审查提醒。电子文件库还可以提供相互链接的参考资料,防止冗余,并在审核时增加价值。
最后一部分是对文档信息的控制,确保需要的人可以获得这些信息,同时保护其完整性。控制包括存储、更改、保留期和删除协议等方面。分类和权限管理也属于保护范畴。
指导要点
- 必备文档:
- 确保所有必备文档均按标准规定到位。 - 控制识别:
- 根据 SoA 和附件 A 识别适用于贵组织的控制。 - 适合目的的方法:
- 编写适合目的并符合贵组织合理需求的文档。 - 增值:
- 不要仅仅为了符合标准而创建文档;要使文档成为为贵组织增值的资产。
从本质上讲,你希望标准为你的组织服务,而不是相反。如果有疑问,口头禅仍然是--读标准、读标准、再读标准。请记住,有效的文档是一种战略资产,而不仅仅是合规的琐事。
由 DQS 提供
- DQS 提供经认可的ISO 27001 认证和ISO 27701 认证服务
- DQS HK 提供私隱影響評估 (PIA)服務
- DQS HK 提供保安風險評估及審計 (SRAA)服務
- DQS 学堂提供ISO 27001:2022 内部审核员培训
- DQS 学堂提供ISO 27701:2019 PIMS 理解培训
DQS通讯
了解最新资讯,订阅我们的通讯