原创 ISO27001策划

总结能让人进步，好久没总结点东西了，都是ISO27001搞的。

管理就是繁琐。

ISO27001最重要的就是整个信息安全管理体系（ISMS）的文档策划，一般文档分为4级。

第一级文件，信息安全策略/手册等。

第二级文件，程序文件，规范制度等。

第三级文件，操作规程等。

第四级文件，计划，记录，表格，报告等。

<?xml:namespace prefix = o ns = "urn:schemas-microsoft-com:office:office" />

手册里面应该包括：颁布令，任命书，信息安全方针和目标，公司概况，公司架构，信息安全管理体系组织架构，信息安全管理委员会成员和职责，信息安全承诺，建立和管理信息安全管理体系，文件要求，管理职责，ISMS内部审核，ISMS管理评审，ISMS的改进。

然后就是，程序文件，针对附录A5-A15的各条款，写相应的管理程序。也就是针对各个控制域，你想采取的控制策略，计划等。

继而产生操作规程。这个可以统一到程序文件里面，也可以单独针对某个对象，写一些能够维护信息安全的操作规程。

最后是，程序执行的记录，报告等。管理肯定要留下证据，记录就是证据。

有几个重要的地方：

1，手册。首先就查你的手册写的怎么样。

2，资产清册，风险评估。所有的东西都应该被列出来，然后找到会影响公司信息安全的资产做风险评估。

3，有效性测量。ISMS的有效性是要有手段去测量的。

4，内部审核。

5，管理评审。老板要参加的，有大问题要做决定的。

至于实施部分嘛，“做你所写”，一定要按照你写的东西去做，你没做的事情就不要写出来。最后审核的时候，这点看的很重要。

审核一般会有两个阶段，一是审核ISMS的策划，二是ISMS的实施。

有些资料，关于体系的

1，中文的

2，英文的

3，英文的一些体系文档，做个参考吧