本文目录

10 设定政策和流程来控制风险


对于定义的每个控制,必须有相应的策略声明,在某些情况下,还必须有详细的过程。政策和流程由受影响的人员使用,以便他们了解自己的角色,从而能够一致地实施控制措施。

政策和流程的文档化是 ISO/IEC 27001 的要求。

输入

为了帮助您确定哪些过程可能需要记录,请参阅您的适用性声明。

为了帮助您编写流程,使它们在内容和外观上保持一致,您可能需要创建一些类型的模板供流程编写人员使用。

输出

附加的政策和流程文件。文件的数量取决于组织的要求。

其中一些流程还可能生成记录。例如,如果您有一个流程,要求所有到您工厂的访客必须在访客日志上签名,那么该日志本身就成为一种记录,提供了遵循该流程的证据。

ISO/IEC 27001 第 4.3.2 和 4.3.3 节要求 ISMS 的所有文件和记录应得到适当的控制。因此,还必须创建政策和流程文件来处理这些控制。

案例

作为 ISMS 的一部分,您需要的策略、流程和记录的数量将取决于许多因素,包括您需要保护的资产的数量和您需要实施的控制措施的复杂度。下面的案例显示了一个组织的文档集的部分列表:

  • 安全手册
  • 安全策略
  • 风险评估方法
  • 风险评估报告,资产清单和处理计划
  • 适用性声明
  • 角色和职责文档
  • 流程一:工作场所安全
  • 流程二:文件和记录控制
  • 流程三:培训
  • 流程四:服务器备份
  • 流程五:审核程序
  • 记录:
    • 审计计划
    • 员工培训记录
    • 员工评估/评价记录
    • 问题/不合格
    • 服务器维护记录
    • 管理评审记录


最近更新于 2022-05-22 猿小六2022-05-22 发布, 已阅 300 次。