ISMS文件知识

 

什么是信息安全管理体系文件?

文件是信息及其承载媒体。

信息安全管理体系文件是按照信息安全管理标准的要求建立信息安全管理框架的依据,它应包括信息安全方针和控制目标、信息安全管理体系的范围、支持ISMS的程序和控制、风险评估方法的描述、风险评估报告、风险处理计划、程序文件、记录和适用性声明。

信息安全管理体系文件要能够展示从选择的控制措施回溯到风险评估和风险处置过程结果的关系,最终回溯到ISMS方针和目标。

文件应还包括管理决策的记录,以确保措施可以追溯到管理决策和方针。记录的结果应该是可重现的。