编写信息安全管理体系文件的基本原则与要求:
1.体系文件要满足标准要求;
2.文件要符合组织业务运作与安全控制的实际,文件应具有可操作性;
3.不同层次的文件之间应保持衔接与协调一致,防止出现相互矛盾,如程序文件规定的与信息安全管理手册叙述的要保持一致;
4.在正式编写文件之前,应根据标准对文件化的要求、标准对文件化程序的要求及信息安全管理体系策划的结果,列出信息安全管理体系文件清单,下达文件编写计划;
5.□
6.文件编写后可能要经过不止一次的修改与完善,在正式发布实施之前,要对文件进行审核,确保符合标准与组织的实际,文件经过管理者批准后予以实施,在文件实施的过程中仍可对文件进行修订,但更改应按照文件控制程序所规定的方法进行。
7.信息安全管理体系程序文件中应包括:
8.文件编号和标题:编号可以根据活动的层次进行编排,同一层次的程序文件应统一编号,以便识别。标题应明确说明开展的活动及其特点;
9.目的和适用范围:一般简单说明为什么要开展这项活动,涉及哪些方面;
10.相关文件和术语:相关文件是指需引用的或与本程序相关联的文件,术语指本程序中涉及到的并需说明的术语或名词;
11.职责:明确实施此项程序的主管部门及相关部门的职责权限、接口及相互关系;
更新时间:2016/11/9 9:25:03