南京ISO27001认证 ISO27001信息管理体系认证策略与规程编写八项原则 发布时间: 2020-01-19 13:47
南京ISO27001认证 ISO27001信息管理体系认证策略与规程编写八项原则
南京ISO27001南京ISO27001认证南京 ISO27000南京 ISO27000认证 南京信息安全管理体系认证南京 ISO27001国际标准南京 ISO27001证书
【风险原则】首先必须进行风险评估,看是否有必要实施该项控制(参见“ISO27001实施基本逻辑:信息安全运行机制”)。如果无风险,自然也就无需为其准备文档;即使有风险,也并不意味着必须编写文档,但至少需要搞清楚该项控制是否为必需。
【依从原则】有时相关规定或合同要求编写相关文档。例如,有规定可能要求编写分类策略,或客户要求与员工签署《保密协议》等。
【公司规模】小公司需要的文档会少一些,所以对于小公司,应当避免为每个小的流程编写规程文档。例如,一个只有20名员工的小公司,就没必要为信息安全管 理体系准备50多个文档。当然,如果是一个拥有10000名员工的跨国集团,为相关规程编写策略,再为每个规程编写操作细则,就会变得非常必要。
【重要性原则】流程或活动越重要,就越有必要编写策略或规程对其进行描述。因为为了避免运行故障,需要确保每个人都能理解该如何实施该流程或活动。
【参与人数】流程或活动参与的人数越多,就越有必要形成文档。例如,参与人数有100人,仅通过口头传达相关流程的实施就会变得非常困难,要是编写一个可 以说明全部细节的规程文档,就会变得简单多了。反过来讲,参与人数只有5个人,开个会或许就能把整个流程的工作解释清楚,也就没必要编写规程文档。但有一 种例外,那就是参与流程的只有一个人,就有可能需要形成文档。因为除了参与人之外,没人知道该如何实施,一旦该人缺席,至少还可以依照文档使流程继续下 去。
【复杂性原则】流程或活动越复杂,就越有必要为其编写文档,至少也应该有个检查清单。例如,按照准确步骤进行100步的操作是不可能仅靠记忆来进行实施的。
【成熟性原则】如果一项流程或活动脉络明晰、经过完美的调试并运行多年,每个人都知道该如何实施,可能就没必要再为其形成文档。
【频次原则】如果某项活动很少实施,可能就需要形成文档,因为您可能会忘记该如何实施该活动。
寻找恰当的平衡
拥有的文档越多,文档就越详细,文档的维护难度以及员工的遵从难度也就越大。相反地,拥有的文档越少、内容越短,可能就无法准确描述要做的事情。大多数情况下,建议大家不要好高骛远,如果没有绝对必要建立新文档,那就不要建立;如果没有必要极具明细地描述一些流程,那就简明扼要。请记住,不必要的文档只会给 你带来麻烦。
南京ISO27001南京ISO27001认证南京 ISO27000南京 ISO27000认证 南京信息安全管理体系认证南京 ISO27001国际标准南京 ISO27001证书
如您对ISO认证有需要欢迎来电:座机028-84388058 QQ3605803470 手机/微信18190790332