ISO27001 高阶架构 之 支持 -2
---写在前面的话---
信息安全体系制度有两套,一套是拿来看的,一套是拿来用的,拿来看的制度是面子,拿来用的才是里子。
对在信息安全管理岗位挣扎求生的同仁来说,都或多或少都经营了两本帐。
其中一本帐,我称为明帐。该文件叙述安全原则、描述安全要求、划定安全基线,融合了多个外部文件的要求,美其名曰是安全体系框架,其实在一本正经的讲废话。但,请记住,废话虽然没有营养,但废话是不会错的。
还有一本帐,我称为暗帐。该文件叙述安全有关的程序、工作内容、责任划分,其实就是安全工作的规则与痕迹。记得《一代宗师》里赵本山说过一句话 “面子不能沾一点灰尘。流了血,里子得收着,收不住,漏到面子上,那就是家破人亡的大事。”
请记住,明帐(面子)不由你,暗帐(里子)才是能够把握的重点。
--- 标准条款 ---
7.5 文件记录信息(documented information)
7.5.1 总则
组织的信息安全管理体系应包括:
a)本标准要求的文件记录信息;
b)组织为有效实施信息安全管理体系确定的必要的文件记录信息。
7.5.2 创建和更新
创建和更新文件记录信息时,组织应确保适当的:
a)标识和描述(例如:标题、日期、作者和编号)
b)格式(例如:语言,软件版本,图表)和介质(例如:纸质介质,电子介质);
c)评审和批准其适用性和充分性。
7.5.3 文件记录信息的控制
信息安全管理体系和本标准所要求的文件记录信息应予以控制,以确保:
a)无论何时何地需要,它都是可用并适合使用的;
b)它被充分保护(例如避免丧失保密性、使用不当或丧失完整性)。
对于文件记录信息的控制,适用时,组织应处理下列问题:
c)分发、访问、检索和适用;
d)存储和保存,包括可读性的保持;
e)变更控制(例如版本控制);
f)保留和处置。
组织为规划和实施信息安全管理体系确定的必要的外部原始文件记录信息,适当时应予以识别并进行控制。
按照信息安全管理体系的最佳实践,制度体系分为四个级别,分别是信息安全战略 ->信息安全策略 -> 信息安全流程 -> 信息安全记录,它们分别是:
信息安全制度的四个级别:
第一级:公司信息安全战略级
* 定义信息安全对组织的长期愿景、使命、核心目标、原则以及与业务战略的一致性。
* 核心内容:
* 信息安全在支持业务目标中的价值定位,包含信息安全方针。
* 高层级的安全目标(例如:“确保关键业务系统的可用性”、“保护客户数据隐私”)。
* 信息安全治理结构和主要职责(如:董事会、高管层、CISO的职责)。
* 信息安全风险管理的基本原则和方法论(如:风险偏好)。
* 对合规性的整体承诺。
* 关键安全投资方向(长期规划)。第二级:公司信息安全策略级
* 定义组织在特定安全领域(如访问控制、数据保护、物理安全等)的**立场和底线**。
* 核心内容:
* 明确的安全责任(如:所有用户都有责任保护其凭证)。
* 特定领域的强制性要求(如:“所有敏感数据必须加密存储”、“禁止使用弱密码”)。
* 安全控制措施的目标和范围。
* 对合规性要求的具体映射(如:满足GDPR的合法性基础要求)。
* 违反政策的后果声明。第三级:信息安全流程级
* 定义流程、指南和工作指导书,这一层级涉及具体的、可重复的操作步骤和规范,指导人员如何完成特定任务或实现政策目标。
* 核心内容:
* 流程:描述执行特定任务所需的详细、顺序化的操作步骤。
* 指南:提供最佳实践或建议性方法,通常用于复杂或需要判断的情境(如:“安全编码指南”、“云服务安全配置指南”)。
* 工作指导书: 针对特定岗位或特定设备的*非常详细的操作说明*。第四级:信息安全记录
* 定义:这是证据层,体现为在执行策略、流程过程中产生的**日志、表单、报告、审计跟踪、证据等。
* 核心内容:
* 系统访问日志、防火墙日志、操作日志。
* 安全事件报告单、风险评估表、漏洞扫描报告。
* 用户权限审批记录、安全培训签到表/考试记录。
* 审计报告(内部/外部)、合规性证明文件。(##以上内容修改自Deepseek##)
能看出来,公司的“明帐”是制度的第一、二级,主打一个全面,是写出来的;而我们的“暗帐”是从第三、四级开始的,主打一个实用,是做出来的,有些甚至上不了台面,但是标准中所指“Documented Information”更多来自这里,请记住,流程运转才能产出文件信息,文件信息反过来支持流程不断迭代优化。
每个流程输入是什么?流程输出是什么?流程应该设置什么环节?每个环节应该进行什么操作?这些问题,才是信息安全管理者应当考虑的。
--- 写在后面的话 ---
写作太累了,但还是坚持下去。
坚持每天写作,也是对自己工作经验的总结。
加油!!