ISO27001策略与规程编写八项原则

  假如你正在准备实施ISO27001国际信息安全管理标准,可能会对需要准备多少文档,以及文档中要写入哪些策略和规程而为难。

  开始很简单,只需按照ISO27001标准检查需要准备哪些文档。(请参照“ISO27001强制性文档列表2013版”,关注“信息安全知识”,回复 “27001md”可查看该列表)。如果某文档属于强制性文档,那就无需多想,只要想符合ISO27001标准,那就必须得写。

  然而,有些文档并非强制性的,可能就不知该写还是不该写了。例如,是否需要实施备份策略?是否需要实施分类策略?是否需要实施自带设备办公策略?那么下面几条原则将对您有所帮助:

  【风险原则】首先必须进行风险评估,看是否有必要实施该项控制(参见“ISO27001实施基本逻辑:信息安全运行机制”)。如果无风险,自然也就无需为其准备文档;即使有风险,也并不意味着必须编写文档,但至少需要搞清楚该项控制是否为必需。

  【依从原则】有时相关规定或合同要求编写相关文档。例如,有规定可能要求编写分类策略,或客户要求与员工签署《保密协议》等。

  【公司规模】小公司需要的文档会少一些,所以对于小公司,应当避免为每个小的流程编写规程文档。例如,一个只有20名员工的小公司,就没必要为信息安全管 理体系准备50多个文档。当然,如果是一个拥有10000名员工的跨国集团,为相关规程编写策略,再为每个规程编写操作细则,就会变得非常必要。

  【重要性原则】流程或活动越重要,就越有必要编写策略或规程对其进行描述。因为为了避免运行故障,需要确保每个人都能理解该如何实施该流程或活动。

  【参与人数】流程或活动参与的人数越多,就越有必要形成文档。例如,参与人数有100人,仅通过口头传达相关流程的实施就会变得非常困难,要是编写一个可 以说明全部细节的规程文档,就会变得简单多了。反过来讲,参与人数只有5个人,开个会或许就能把整个流程的工作解释清楚,也就没必要编写规程文档。但有一 种例外,那就是参与流程的只有一个人,就有可能需要形成文档。因为除了参与人之外,没人知道该如何实施,一旦该人缺席,至少还可以依照文档使流程继续下 去。

  【复杂性原则】流程或活动越复杂,就越有必要为其编写文档,至少也应该有个检查清单。例如,按照准确步骤进行100步的操作是不可能仅靠记忆来进行实施的。

  【成熟性原则】如果一项流程或活动脉络明晰、经过完美的调试并运行多年,每个人都知道该如何实施,可能就没必要再为其形成文档。

  【频次原则】如果某项活动很少实施,可能就需要形成文档,因为您可能会忘记该如何实施该活动。

  寻找恰当的平衡

  拥 有的文档越多,文档就越详细,文档的维护难度以及员工的遵从难度也就越大。相反地,拥有的文档越少、内容越短,可能就无法准确描述要做的事情。大多数情况 下,建议大家不要好高骛远。如果没有绝对必要建立新文档,那就不要建立;如果没有必要极具明细地描述一些流程,那就简明扼要。请记住,不必要的文档只会给 你带来麻烦。

 

上一篇:智能无惧挑战 山石网科轰动RSA2015

下一篇:小心密码被一锅端,Android密码管理器爆严重漏洞