ISO/IEC 27001: 2022标准解读(18)正文 7 支持/7.5 文件化信息

ISO/IEC 27001:2013标准 正文 7 支持/7.5 文件化信息

7.5.1 总则
组织的信息安全管理体系应包括:
a) 本标准要求的文件化信息;
b) 为信息安全管理体系的有效性,组织所确定的必要的文件化信息。

注:不同组织有关信息安全管理体系文件化信息的详略程度可以是不同的,这是由于:

1) 组织的规模及其活动、过程、产品和服务的类型;
2) 过程及其相互作用的复杂性;
3) 人员的能力。

7.5.2 创建和更新
创建和更新文件化信息时,组织应确保适当的:
a) 标识和描述(例如标题、日期、作者或引用编号);
b) 格式(例如语言、软件版本、图表)和介质(例如纸质的、电子的);
c) 对适宜性和充分性的评审和批准。

7.5.3 文件化信息的控制
信息安全管理体系及本标准所要求的文件化信息应得到控制,以确保:
a) 在需要的地点和时间,是可用的和适宜使用的;
b) 得到充分的保护(如避免保密性损失、不恰当使用、完整性损失等)。
为控制文件化信息,适用时,组织应强调以下活动:
c) 分发,访问,检索和使用;
d) 存储和保护,包括保持可读性;
e) 控制变更(例如版本控制);
f) 保留和处理。

组织确定的为规划和运行信息安全管理体系所必需的外来的文件化信息,应得到适当的识别,并予以控制。

注:访问隐含着仅允许浏览文件化信息,或允许和授权浏览及更改文件化信息等决定。

标准解读:

  1. 本条款是信息安全管理体系相关文件和记录管理的要求,基本与其他管理体系(如ISO 9001、ISO 45001等)要求是一致的,因此在实施本条款的时候,可以直接用组织原有的《文件化信息控制程序》,文件中应包含信息安全管理体系相关文件(包含记录)的评审、发布、存储、回收以及销毁流程和要求;
  2. 应按照ISO/IEC 27001:2013要求,形成书面的信息安全管理手册,相关管程序文件,操作规范,和相应的运行记录;
  3. 在《文件化信息控制程序》中,应明确组织文件化信息的安全级别和标识方案及要求。

实施本条款应输出的文档:

  1. 《文件化信息控制程序》;
  2. 信息安全管理体系文件清单和相关记录清单;
  3. 文件评审记录、文件发放和回收记录以及文件销毁记录等。

本条款审核要点:

  1. 审核《文件化信息控制程序》中是否包含文件(包含记录)的评审、发布、存储、回收以及销毁流程和要求;
  2. 审核《文件化信息控制程序》是否有文件化信息的安全级别和标识方案及要求,查看相关文件和记录验证是否有执行;
  3. 查看相关文件评审记录、文件发放和回收记录以及文件销毁记录等。