ISO27001体系文件的编写要求

信息安全管理体系应该包括文件化的程序，以：
□  识别风险评估中没有充分涉及的薄弱点或威胁；
□  识别可能为组织所用，提供其信息安全管理体系业绩或有效性的技术、产品或程序；
□  识别可能需要进行信息安全管理体系评审的环境变化；
□  管理者应该定期对信息安全管理体系进行评审，评审应该被文件化；
□  必要时，对影响信息安全的程序进行修改，以响应可能影响信息安全管理体系的内部或外部事件。
建立并保持一个文件化的信息安全管理体系是ISO27001标准的一个总要求，编写信息安全管理体系文件是组织建立信息安全管理体系的重要基础工作，也是一个组织实现风险控制、评价和改进信息安全管理体系、实现持续改进必不可少的依据。
编写信息安全管理体系文件的基本原则与要求：
□ 体系文件要满足标准要求；
□ 文件要符合组织业务运作与安全控制的实际，文件应具有可操作性；
□ 不同层次的文件之间应保持衔接与协调一致，防止出现相互矛盾，如程序文件规定的与信息安全管理手册叙述的要保持一致；
□ 在正式编写文件之前，应根据标准对文件化的要求、标准对文件化程序的要求及信息安全管理体系策划的结果，列出信息安全管理体系文件清单，下达文件编写计划；
□ 文件编写后可能要经过不止一次的修改与完善，在正式发布实施之前，要对文件进行审核，确保符合标准与组织的实际，文件经过管理者批准后予以实施，在文件实施的过程中仍可对文件进行修订，但更改应按照文件控制程序所规定的方法进行。
信息安全管理体系程序文件中应包括：
□ 文件编号和标题：编号可以根据活动的层次进行编排，同一层次的程序文件应统一编号，以便识别。标题应明确说明开展的活动及其特点；
□ 目的和适用范围：一般简单说明为什么要开展这项活动，涉及哪些方面；
□ 相关文件和术语：相关文件是指需引用的或与本程序相关联的文件，术语指本程序中涉及到的并需说明的术语或名词；
□ 职责：明确实施此项程序的主管部门及相关部门的职责权限、接口及相互关系；
□ 工作程序：列出开展此项活动的详细步骤，保持合理的编写顺序；明确各项活动的接口关系与协调措施；明确每个过程中各项要素的5W1H（目的与范围(Why)、做什么(What)、谁来做(Who)、何时（When）、何地(Where)以及如何做(How)）及所要达到的要求，所需形成记录和报告的内容；出现意外情况的处理措施等。必要时附流程图；
□ 报告和记录格式：明确使用该程序时所产生的记录和报告的格式，记录的保存期限，写明记录的编号和名称。
程序文件与作业指导性文件的区别：
作业指导性文件是程序文件的支持性文件，用以描述具体的岗位和工作现场如何完成某项工作任务的具体做法，通常包括作业指导书、操作规程、安全管理制度等，例如设备维护规程或维护手册。作业指导性文件可以被程序文件所引用，是对程序文件中整个程序或某些条款进行补充、细化。由于各组织的规模、组织机构、被保护的信息资产、安全风险因素的不同，则运行控制程序的多少、内容也不同，即使运行控制程序相同，但由于其详略程度不同，其作业指导性文件的多少也不尽相同。