Если внимательно читать стандарт по управлению информационной безопасностью ISO 27001:2005, то можно натолкнуться на требования по контролю документации системы управления информационной безопасностью (раздел 4.3.2). Стандарт требует формализации процесса управления документацией СУИБ. Компания, желающая должна определить каким образом политики и процедуры по информационной безопасности будут проходить утверждение, как они будут пересматриваться, как будут регистрироваться изменения в документах, и как они будут распространяться. Так же не стоит забывать, что зачастую документам системы управления информационной безопасностью в компаниях присваивается гриф “Конфиденциально” и документы СУИБ должны храниться, передаваться и уничтожаться в соответствии с процедурами по работе с классифицированной информацией.
- версия документа;
- код документа;
- таблица с именами и должностями тех, кто разработал, согласовал и утвердил документ.
- дата вступления документа в силу;
- перечень мер ISO 27001:2005, которые формализованы в документе;
В-третьих, мы должны определить требования к содержанию документов в зависимости от их типов. Например, процедура может содержать следующие разделы:
- история изменений документа;
- цель документа;
- область применения;
- перечень используемых сокращений;
- связанные документы;
- описание процедуры;
- описание обязанностей;
- описание свидетельств для целей аудита.
- описание процедуры утверждения документации СУИБ;
- описание процедуры согласования документации СУИБ;
- описание процедуры внесения изменений документации СУИБ;
Александр Дорофеев (с)
Сообщения
2 коммент.:
В настоящее время занимаюсь подготовкой организации к прохождению аудита по ISO. Подскажите, требования по управлению документацией распространяются только на документы напрямую связанные с СУИБ, либо на всю прочую регламентирующую документацию, существующую в компании? Как быть, например, с ИТ-стратегией и должностными инструкциями?
Сергей
Сергей,
Насколько я понимаю ваш вопрос, то его можно переформулировать так: ”Нужно ли ”лезть” с требованиями ISO 27001:2005 в чужой огород и требовать выполнения требований стандарта для документов, владельцами которых являются подразделения, отличные от отдела информационной безопасности”. По идее, стандарт требует этого, так как эти документы, попадают под категории с «procedures and controls in support of the ISMS” и g “documented procedures needed by the organization to ensure the effective planning, operation and
control of its information security processes and describe how to measure the effectiveness of controls” секции 4.3.1 ISO 27001:2005. Например, это процедуры отдела кадров по проверке кандидатов (контроль A 8.1.2) или процедуры Департамента ИТ по резервному копированию (контроль A.10.5.1)
Однако, мне известен случай, когда в ходе сертификационного аудита аудиторы были сфокусированы на документации СУИБ, разработанной отделом ИБ, а к остальной документации, например к должностным инструкциям и процедурам отдела кадров, было только требование к ее наличию. Конечно же, процедуры еще и должны были работать :)
Александр Дорофеев
adorofeev@adorofeev.ru
Отправить комментарий