ISO27001认证时均需要进行文档的编辑,这是认证的必要条件,因为审核部门要审核信息安全的可持续性,有文档的加持可以使审核的难度下降,但是对于一些小规模的公司来说该项工作并不复杂也不是主要的审核内容,但是在审核工作中却扮演了重要角色,那么在ISO27001认证文档编辑时要注意哪几点?
1、风险原则
ISO27001必须进行风险评估,看是否有必要实施该项控制(参见实施基本逻辑中信息安全运行机制),如果无风险自然也就无需为其准备文档;即使有风险也并不意味着必须编写文档,但至少需要搞清ISO27001的该项控制是否为必需。
2、公司规模
小公司需要的文档会,所以对于小公司应当避免为每个小的流程编写规程文档。例如一个只有数名员工的小公司,就没必要为ISO27001信息安全管理体系准备几十个文档。当然如果是一个拥有万名员工的跨国集团,为ISO27001相关规程编写策略,再为每个规程编写操作细则就会变得非常必要。
3、参与人数
流程或活动参与的人数越多就越有必要形成文档,例如参与人数有百人,仅通过口头传达相关流程的实施就会变得非常困难,要是编写一个可以说明全部细节的ISO27001规程文档,就会变得简单多了。反过来讲,参与人数只有几个人,开会或许就能把整个流程的工作解释清楚,则没必要为ISO27001编写规程文档。
如果公司的活动较为复杂,信息安全的细节较多,则必须要进行文档的编辑,在ISO27001认证时一定要将成熟的文档交到审核部门,成熟文档的标志是有清晰的脉络以及可实施性的方案,一个成熟的文档与企业的信息安全相辅相成,文档越详细说明企业在信息安全方面越加自信。