一、要求内容
a)应指定或授权专门的部门或人员负责安全管理制度的制定;
b)安全管理制度应具有统一的格式,并进行版本控制;
c)应组织相关人员对制定的安全管理制度进行论证和审定;
d)安全管理制度应通过正式、有效的方式发布;
e)安全管理制度应注明发布范围,并对收发文进行登记;
f)有密级的安全管理制度,应注明安全管理制度密级,并进行密级管理。
二、实施建议
信息安全管理制度的制定可以由信息安全管理小组或信息安全管理委员会的成员开发制定,对于文件管理由信息安全管理小组或信息安全管理委员会负责。 安全管理制度文件的密级和格式应当统一按照公司原有的文件要求编写;在经过领导或相关人员审批后,通过行政部门或直接由信息安全管理委员会进行发布。
三、常见问题
有些人员较少的公司,安全体系文件的管理是由以前负责质量管理的人员兼职管理,不利于文件的更新和维护;对于体系文件的发布也缺少合理的安排,经常是所有文件都发布给所有员工,导致有些员工获得了与之无关的重要信息。
四、实施难点
控制文档的发布范围需要根据接受文档人员的权限制定,尽量避免获得与之无关的信息。
五、测评方法
形式 访谈,检查。 对象 安全主管,安全管理员,制度制定和发布要求管理文档,评审记录,安全管理制度,收发登记记录。
实施
a)应访谈安全主管,询问由哪个部门负责管理制度的制定,参与制定人员有哪些;
b)应访谈安全主管,询问安全管理制度的制定程序和发布方式,是否对制定的安全管理制度进行论证和审定,论证和评审方式如何(如召开评审会、函审、内部审核等),是否按照统一的格式标准或要求制定,对有密级的管理制度如何控制使用,是否采取相应措施有效管理;
c)应检查制度制定和发布要求管理文档,查看文档是否说明安全管理制度的制定和发布程序、格式要求、版本编号和密级标注等相关内容;
d)应检查管理制度评审记录,查看是否有相关人员的评审意见;
e)应检查安全管理制度文档,查看是否注明适用和发布范围,是否有版本标识,是否有密级标注,是否有管理层的签字或单位盖章;查看各项制度文档格式是否统一;
f)应检查安全管理制度的收发登记记录,查看收发是否通过正式、有效的方式,如正式发文、领导签署和单位盖章等,是否有发布范围要求。
六、参考资料
ISO27001中对体系文件的控制有要求:
4.3.2 文件控制 ISMS所要求的文件应予以保护和控制。应编制形成文件的程序,以规定以下方面所需的管理措施:
a)文件发布前得到批准,以确保文件是充分的;
b)必要时,对文件进行评审与更新并再次批准;
c)确保文件的更改和现行修订状态得到识别;
d)确保在使用处可获得适用文件的相关版本;
e)确保文件保持合法,易于识别;
f)确保文件可以为需要者所获得,并根据适用于他们类别的程序进行转移、存储和最终的销毁;
g)确保外来文件得到识别;
h)确保文件的分发是受控的;
i)防止作废文件的非预期使用;
j)若因任何原因而保留作废文件时,对这些文件进行适当的标识。