GB/T 22080-2016 idt ISO/IEC 27001:2013 ISMS?信息安全管理體系的文件體系
ISO27001 標(biāo)準(zhǔn)要求的?ISMS?文件體系應(yīng)該是一個(gè)層次化的體系,按照一般管理體系的慣例,通常是由以下層次構(gòu)成的:
信息安全手冊(cè): 該手冊(cè)是對(duì)信息安全管理體系框架的整體描述,以此表明確定范圍內(nèi)?ISMS?是按照ISO27001標(biāo)準(zhǔn)要求建立并運(yùn)行的。
一級(jí)文件:組織范圍內(nèi)的信息安全方針,以及下屬各個(gè)方面的策略方針等��。這需要從組織整體考慮來(lái)制定,應(yīng)該能夠反映組織最高管理者對(duì)信息安全工作下達(dá)的旨意,應(yīng)該能為所有下級(jí)文件的編寫指引方向��。一級(jí)文件至少包括但不限于:?
????●??信息安全方針
????●??風(fēng)險(xiǎn)評(píng)估報(bào)告
????●??適用性聲明(SoA)
二級(jí)文件:?各類程序文件�。這些程序文件應(yīng)該是針對(duì)信息安全某方面工作的,是對(duì)信息安全方針內(nèi)容的進(jìn)一步落實(shí),應(yīng)該是不同部門都能適用的,至少包括但不限于:
●??風(fēng)險(xiǎn)評(píng)估流程
●??風(fēng)險(xiǎn)管理流程
●??風(fēng)險(xiǎn)處理計(jì)劃
●??管理評(píng)審程序
●??信息設(shè)備管理程序
●??信息安全組織建設(shè)規(guī)定
●??新設(shè)施管理程序
●??內(nèi)部審核程序
●??第三方和外包管理規(guī)定
●??信息資產(chǎn)管理規(guī)定
●??工作環(huán)境安全管理規(guī)定
●??介質(zhì)處理與安全規(guī)定
●??系統(tǒng)開發(fā)與維護(hù)程序
●??業(yè)務(wù)連續(xù)性管理程序
●??法律符合性管理規(guī)定
●??信息系統(tǒng)安全審計(jì)規(guī)定
●??文件及材料控制程序
●??安全事件處理流程
三級(jí)文件:?具體的作業(yè)指導(dǎo)書。描述了某項(xiàng)任務(wù)具體的操作步驟和方法,是對(duì)各個(gè)程序文件所規(guī)定的領(lǐng)域內(nèi)工作的細(xì)化。
四級(jí)文件:?各種記錄文件,包括實(shí)施各項(xiàng)流程的記錄成果����。這些文件通常表現(xiàn)為記錄表格,應(yīng)該成為?ISMS?得以持續(xù)運(yùn)行的有力證據(jù),由各個(gè)相關(guān)部門自行維護(hù)。
ISO/IEC20000 認(rèn)證實(shí)施方案
1.?認(rèn)證前期調(diào)研準(zhǔn)備����、項(xiàng)目啟動(dòng)、制定計(jì)劃?
●???確定IT服務(wù)管理認(rèn)證范圍����;?
●???確立愿景,決定服務(wù)管理改進(jìn)的方面與改進(jìn)的順序�;??
●???進(jìn)行初步的評(píng)估、掌握現(xiàn)狀��;?
●???評(píng)估需要改進(jìn)的方面��;管理在認(rèn)證過(guò)程中的風(fēng)險(xiǎn)����;
●???文件收集;
●???現(xiàn)場(chǎng)訪談�、差距分析;
●???制定整體的計(jì)劃��,獲得相關(guān)方面的支持與承諾。
2.?體系建設(shè)��、培訓(xùn)
●???建立�、管理服務(wù)改進(jìn)計(jì)劃(PDCA環(huán))�;?
●???服務(wù)目錄設(shè)計(jì),管理體系設(shè)計(jì)��、過(guò)程設(shè)計(jì)��;
●???根據(jù)ISO20000-1:《IT服務(wù)管理規(guī)范》進(jìn)行詳細(xì)的評(píng)估�;?
●???借鑒ISO20000-2:《IT服務(wù)實(shí)施準(zhǔn)則》,制定具體的改進(jìn)計(jì)劃����;
●???實(shí)施計(jì)劃、定期檢查�;
●???編寫《服務(wù)目錄》、《IT服務(wù)質(zhì)量管理手冊(cè)》《程序文件》《事件管理流程手冊(cè)》《問(wèn)題管理流程手冊(cè)》等��。
3.體系發(fā)布��、試運(yùn)行
●???體系發(fā)布��、流程運(yùn)行改進(jìn)����;
●???內(nèi)審機(jī)制建立�,管理評(píng)審機(jī)制建立��;
●???建立初步的持續(xù)改進(jìn)機(jī)制��;
4. 外部認(rèn)證審核
●???對(duì)文檔和流程的評(píng)估����;
●???現(xiàn)場(chǎng)的對(duì)員工和流程的審核;
