ISO27001策略與規程編寫八項原則
責編:admin |2014-11-24 16:49:58假如你正在準備實施ISO27001國際信息安全管理標準,可能會對需要準備多少文檔,以及文檔中要寫入哪些策略和規程而為難。
開始很簡單,只需按照ISO27001標準檢查需要準備哪些文檔。(請參照“ISO27001強制性文檔列表2013版”,關注“信息安全知識”,回復 “27001md”可查看該列表)。如果某文檔屬于強制性文檔,那就無需多想,只要想符合ISO27001標準,那就必須得寫。
然而,有些文檔并非強制性的,可能就不知該寫還是不該寫了。例如,是否需要實施備份策略?是否需要實施分類策略?是否需要實施自帶設備辦公策略?那么下面幾條原則將對您有所幫助:
【風險原則】首先必須進行風險評估,看是否有必要實施該項控制(參見“ISO27001實施基本邏輯:信息安全運行機制”)。如果無風險,自然也就無需為其準備文檔;即使有風險,也并不意味著必須編寫文檔,但至少需要搞清楚該項控制是否為必需。
【依從原則】有時相關規定或合同要求編寫相關文檔。例如,有規定可能要求編寫分類策略,或客戶要求與員工簽署《保密協議》等。
【公司規模】小公司需要的文檔會少一些,所以對于小公司,應當避免為每個小的流程編寫規程文檔。例如,一個只有20名員工的小公司,就沒必要為信息安全管 理體系準備50多個文檔。當然,如果是一個擁有10000名員工的跨國集團,為相關規程編寫策略,再為每個規程編寫操作細則,就會變得非常必要。
【重要性原則】流程或活動越重要,就越有必要編寫策略或規程對其進行描述。因為為了避免運行故障,需要確保每個人都能理解該如何實施該流程或活動。
【參與人數】流程或活動參與的人數越多,就越有必要形成文檔。例如,參與人數有100人,僅通過口頭傳達相關流程的實施就會變得非常困難,要是編寫一個可 以說明全部細節的規程文檔,就會變得簡單多了。反過來講,參與人數只有5個人,開個會或許就能把整個流程的工作解釋清楚,也就沒必要編寫規程文檔。但有一 種例外,那就是參與流程的只有一個人,就有可能需要形成文檔。因為除了參與人之外,沒人知道該如何實施,一旦該人缺席,至少還可以依照文檔使流程繼續下 去。
【復雜性原則】流程或活動越復雜,就越有必要為其編寫文檔,至少也應該有個檢查清單。例如,按照準確步驟進行100步的操作是不可能僅靠記憶來進行實施的。
【成熟性原則】如果一項流程或活動脈絡明晰、經過完美的調試并運行多年,每個人都知道該如何實施,可能就沒必要再為其形成文檔。
【頻次原則】如果某項活動很少實施,可能就需要形成文檔,因為您可能會忘記該如何實施該活動。
尋找恰當的平衡
擁 有的文檔越多,文檔就越詳細,文檔的維護難度以及員工的遵從難度也就越大。相反地,擁有的文檔越少、內容越短,可能就無法準確描述要做的事情。大多數情況 下,建議大家不要好高騖遠。如果沒有絕對必要建立新文檔,那就不要建立;如果沒有必要極具明細地描述一些流程,那就簡明扼要。請記住,不必要的文檔只會給 你帶來麻煩。