ISO27001策略與規(guī)程編寫八項(xiàng)原則
責(zé)編:admin |2014-11-24 16:49:58假如你正在準(zhǔn)備實(shí)施ISO27001國(guó)際信息安全管理標(biāo)準(zhǔn),可能會(huì)對(duì)需要準(zhǔn)備多少文檔,以及文檔中要寫入哪些策略和規(guī)程而為難。
開始很簡(jiǎn)單,只需按照ISO27001標(biāo)準(zhǔn)檢查需要準(zhǔn)備哪些文檔。(請(qǐng)參照“ISO27001強(qiáng)制性文檔列表2013版”,關(guān)注“信息安全知識(shí)”,回復(fù) “27001md”可查看該列表)。如果某文檔屬于強(qiáng)制性文檔,那就無(wú)需多想,只要想符合ISO27001標(biāo)準(zhǔn),那就必須得寫。
然而,有些文檔并非強(qiáng)制性的,可能就不知該寫還是不該寫了。例如,是否需要實(shí)施備份策略?是否需要實(shí)施分類策略?是否需要實(shí)施自帶設(shè)備辦公策略?那么下面幾條原則將對(duì)您有所幫助:
【風(fēng)險(xiǎn)原則】首先必須進(jìn)行風(fēng)險(xiǎn)評(píng)估,看是否有必要實(shí)施該項(xiàng)控制(參見(jiàn)“ISO27001實(shí)施基本邏輯:信息安全運(yùn)行機(jī)制”)。如果無(wú)風(fēng)險(xiǎn),自然也就無(wú)需為其準(zhǔn)備文檔;即使有風(fēng)險(xiǎn),也并不意味著必須編寫文檔,但至少需要搞清楚該項(xiàng)控制是否為必需。
【依從原則】有時(shí)相關(guān)規(guī)定或合同要求編寫相關(guān)文檔。例如,有規(guī)定可能要求編寫分類策略,或客戶要求與員工簽署《保密協(xié)議》等。
【公司規(guī)模】小公司需要的文檔會(huì)少一些,所以對(duì)于小公司,應(yīng)當(dāng)避免為每個(gè)小的流程編寫規(guī)程文檔。例如,一個(gè)只有20名員工的小公司,就沒(méi)必要為信息安全管 理體系準(zhǔn)備50多個(gè)文檔。當(dāng)然,如果是一個(gè)擁有10000名員工的跨國(guó)集團(tuán),為相關(guān)規(guī)程編寫策略,再為每個(gè)規(guī)程編寫操作細(xì)則,就會(huì)變得非常必要。
【重要性原則】流程或活動(dòng)越重要,就越有必要編寫策略或規(guī)程對(duì)其進(jìn)行描述。因?yàn)闉榱吮苊膺\(yùn)行故障,需要確保每個(gè)人都能理解該如何實(shí)施該流程或活動(dòng)。
【參與人數(shù)】流程或活動(dòng)參與的人數(shù)越多,就越有必要形成文檔。例如,參與人數(shù)有100人,僅通過(guò)口頭傳達(dá)相關(guān)流程的實(shí)施就會(huì)變得非常困難,要是編寫一個(gè)可 以說(shuō)明全部細(xì)節(jié)的規(guī)程文檔,就會(huì)變得簡(jiǎn)單多了。反過(guò)來(lái)講,參與人數(shù)只有5個(gè)人,開個(gè)會(huì)或許就能把整個(gè)流程的工作解釋清楚,也就沒(méi)必要編寫規(guī)程文檔。但有一 種例外,那就是參與流程的只有一個(gè)人,就有可能需要形成文檔。因?yàn)槌藚⑴c人之外,沒(méi)人知道該如何實(shí)施,一旦該人缺席,至少還可以依照文檔使流程繼續(xù)下 去。
【復(fù)雜性原則】流程或活動(dòng)越復(fù)雜,就越有必要為其編寫文檔,至少也應(yīng)該有個(gè)檢查清單。例如,按照準(zhǔn)確步驟進(jìn)行100步的操作是不可能僅靠記憶來(lái)進(jìn)行實(shí)施的。
【成熟性原則】如果一項(xiàng)流程或活動(dòng)脈絡(luò)明晰、經(jīng)過(guò)完美的調(diào)試并運(yùn)行多年,每個(gè)人都知道該如何實(shí)施,可能就沒(méi)必要再為其形成文檔。
【頻次原則】如果某項(xiàng)活動(dòng)很少實(shí)施,可能就需要形成文檔,因?yàn)槟赡軙?huì)忘記該如何實(shí)施該活動(dòng)。
尋找恰當(dāng)?shù)钠胶?/p>
擁 有的文檔越多,文檔就越詳細(xì),文檔的維護(hù)難度以及員工的遵從難度也就越大。相反地,擁有的文檔越少、內(nèi)容越短,可能就無(wú)法準(zhǔn)確描述要做的事情。大多數(shù)情況 下,建議大家不要好高騖遠(yuǎn)。如果沒(méi)有絕對(duì)必要建立新文檔,那就不要建立;如果沒(méi)有必要極具明細(xì)地描述一些流程,那就簡(jiǎn)明扼要。請(qǐng)記住,不必要的文檔只會(huì)給 你帶來(lái)麻煩。
- 周鴻祎領(lǐng)銜!百所高校+企業(yè)組團(tuán)亮相ISC.AI 2025“紅衣課堂”
- 港科大發(fā)布大模型越獄攻擊評(píng)估基準(zhǔn),覆蓋6大類別37種方法
- 引領(lǐng)智能運(yùn)維!全新FortiAIOps 3.0重新定義IT運(yùn)營(yíng)
- MirageFlow:一種針對(duì)Tor的新型帶寬膨脹攻擊
- 英偉達(dá)約談事件的制度邏輯與趨勢(shì)展望
- 國(guó)家互聯(lián)網(wǎng)信息辦公室發(fā)布《國(guó)家信息化發(fā)展報(bào)告(2024年)》
- 火狐中國(guó)終止運(yùn)營(yíng):辦公地?zé)o人,用戶賬號(hào)數(shù)據(jù)面臨清空
- 25年一直未變!網(wǎng)絡(luò)安全永恒的“十大法則”
- 關(guān)于征集數(shù)據(jù)安全評(píng)估標(biāo)準(zhǔn)化應(yīng)用實(shí)踐案例的通知
- ISC.AI 2025主題前瞻:ALL IN AGENT,全面擁抱智能體時(shí)代!