扫码微信咨询
ISO27001标准实施——策略与规程编写有哪些原则
2020-03-04
728
最近接到很多企业咨询:目前正准备实施ISO27001国际信息安全管理标准,但是不清楚准备多少文档,以及文档中要写入哪些策略和规程,感到十分为难。在这里我们就统一解答一下这个问题。
开始很简单,只需按照ISO27001标准检查需要准备哪些文档。(可在www.q-ing.com.cn查询,也可以直接咨询我们的客服)。大家都知道强制性的文档是必须写的,主要问题在于有些文档并非强制性的,很多企业不知该写还是不该写。这时候就需要参考下面几条原则了:
1、风险原则
首先必须进行风险评估,看是否有必要实施该项控制。如果无风险,自然也就无需为其准备文档;即使有风险,也并不意味着必须编写文档,但至少需要搞清楚该项控制是否为必需。
2、依从原则
有时相关规定或合同要求编写相关文档。例如,有规定可能要求编写分类策略,或客户要求与员工签署《保密协议》等。
3、公司规模原则
小公司需要的文档会少一些,所以对于小公司,应当避免为每个小的流程编写规程文档。例如,一个只有20名员工的小公司,就没必要为信息安全管理体系准备50多个文档。当然,如果是一个拥有10000名员工的跨国集团,为相关规程编写策略,再为每个规程编写操作细则,就会变得非常必要。
4、重要性原则
流程或活动越重要,就越有必要编写策略或规程对其进行描述。因为为了避免运行故障,需要确保每个人都能理解该如何实施该流程或活动。
5、参与人数原则
流程或活动参与的人数越多,就越有必要形成文档。例如,参与人数有100人,仅通过口头传达相关流程的实施就会变得非常困难,要是编写一个可以说明全部细节的规程文档,就会变得简单多了。反过来讲,参与人数只有5个人,开个会或许就能把整个流程的工作解释清楚,也就没必要编写规程文档。但有一种例外,那就是参与流程的只有一个人,就有可能需要形成文档。因为除了参与人之外,没人知道该如何实施,一旦该人缺席,至少还可以依照文档使流程继续下去。
6、复杂性原则
流程或活动越复杂,就越有必要为其编写文档,至少也应该有个检查清单。例如,按照准确步骤进行100步的操作是不可能仅靠记忆来进行实施的。
7、成熟性原则
如果一项流程或活动脉络明晰、经过完美的调试并运行多年,每个人都知道该如何实施,可能就没必要再为其形成文档。
8、频次原则
如果某项活动很少实施,可能就需要形成文档,因为您可能会忘记该如何实施该活动。
以上就是ISO27001实施过程中,关于需要准备的文件需要遵从的几大原则的介绍,希望对各组织和企业有所帮助。
开始很简单,只需按照ISO27001标准检查需要准备哪些文档。(可在www.q-ing.com.cn查询,也可以直接咨询我们的客服)。大家都知道强制性的文档是必须写的,主要问题在于有些文档并非强制性的,很多企业不知该写还是不该写。这时候就需要参考下面几条原则了:
1、风险原则
首先必须进行风险评估,看是否有必要实施该项控制。如果无风险,自然也就无需为其准备文档;即使有风险,也并不意味着必须编写文档,但至少需要搞清楚该项控制是否为必需。
2、依从原则
有时相关规定或合同要求编写相关文档。例如,有规定可能要求编写分类策略,或客户要求与员工签署《保密协议》等。
3、公司规模原则
小公司需要的文档会少一些,所以对于小公司,应当避免为每个小的流程编写规程文档。例如,一个只有20名员工的小公司,就没必要为信息安全管理体系准备50多个文档。当然,如果是一个拥有10000名员工的跨国集团,为相关规程编写策略,再为每个规程编写操作细则,就会变得非常必要。
4、重要性原则
流程或活动越重要,就越有必要编写策略或规程对其进行描述。因为为了避免运行故障,需要确保每个人都能理解该如何实施该流程或活动。
5、参与人数原则
流程或活动参与的人数越多,就越有必要形成文档。例如,参与人数有100人,仅通过口头传达相关流程的实施就会变得非常困难,要是编写一个可以说明全部细节的规程文档,就会变得简单多了。反过来讲,参与人数只有5个人,开个会或许就能把整个流程的工作解释清楚,也就没必要编写规程文档。但有一种例外,那就是参与流程的只有一个人,就有可能需要形成文档。因为除了参与人之外,没人知道该如何实施,一旦该人缺席,至少还可以依照文档使流程继续下去。
6、复杂性原则
流程或活动越复杂,就越有必要为其编写文档,至少也应该有个检查清单。例如,按照准确步骤进行100步的操作是不可能仅靠记忆来进行实施的。
7、成熟性原则
如果一项流程或活动脉络明晰、经过完美的调试并运行多年,每个人都知道该如何实施,可能就没必要再为其形成文档。
8、频次原则
如果某项活动很少实施,可能就需要形成文档,因为您可能会忘记该如何实施该活动。
以上就是ISO27001实施过程中,关于需要准备的文件需要遵从的几大原则的介绍,希望对各组织和企业有所帮助。