ISO∕IEC 27001-2022《信息安全、網(wǎng)絡(luò)安全和隱私保護(hù)-信息安全管理體系-要求》“第7章 支持”解讀和應(yīng)用指導(dǎo)材料（雷澤佳編制2024）

ISO/IEC27001:2022“第7章：支持”解讀和應(yīng)用指導(dǎo)材料ISO/IEC27001:2022《信息安全、網(wǎng)絡(luò)安全和隱私保護(hù)-信息安全管理體系-要求》“第7章：支持”解讀和應(yīng)用指導(dǎo)材料支持資源資源類型與基礎(chǔ)定義資源是執(zhí)行任何類型活動(dòng)的基礎(chǔ)：有充足的資源，活動(dòng)的執(zhí)行可能會(huì)受到阻礙或無(wú)法達(dá)到預(yù)期的效果；資源類型，包括：人員：指的是那些推動(dòng)和執(zhí)行活動(dòng)的人員，他們的技能、知識(shí)和經(jīng)驗(yàn)對(duì)于活動(dòng)的成功至關(guān)重要。時(shí)間：這里涉及兩個(gè)層面的時(shí)間資源，一是活動(dòng)的執(zhí)行時(shí)間，即完成活動(dòng)所需的時(shí)間；二是在采取新步驟前，使結(jié)果穩(wěn)定下來(lái)的時(shí)間，這段時(shí)間對(duì)于評(píng)估活動(dòng)效果、調(diào)整策略非常關(guān)鍵。財(cái)務(wù)資源：包括采購(gòu)、開發(fā)和實(shí)現(xiàn)活動(dòng)所需的資金，是確保活動(dòng)順利進(jìn)行的經(jīng)濟(jì)基礎(chǔ)。信息：信息在支持決策和評(píng)價(jià)活動(dòng)績(jī)效方面發(fā)揮著重要作用，同時(shí)也有助于提高知識(shí)水平?；A(chǔ)設(shè)施和其他手段：這包括獲取或建立的基礎(chǔ)設(shè)施，如技術(shù)、工具和材料，無(wú)論它們是否是信息技術(shù)產(chǎn)品，都是活動(dòng)執(zhí)行中不可或缺的支持元素。信息安全管理資源清單示例類別具體資源功能或勝任描述人員資源信息安全管理團(tuán)隊(duì)信息安全主管、安全工程師、安全分析師等負(fù)責(zé)規(guī)劃、執(zhí)行和監(jiān)督企業(yè)的信息安全管理工作培訓(xùn)與教育全體員工的信息安全意識(shí)和技能培訓(xùn)確保員工了解并遵循信息安全政策和標(biāo)準(zhǔn)時(shí)間資源信息安全項(xiàng)目時(shí)間表項(xiàng)目啟動(dòng)、執(zhí)行、監(jiān)控和結(jié)束等階段的時(shí)間安排為每個(gè)信息安全項(xiàng)目或活動(dòng)制定詳細(xì)的時(shí)間規(guī)劃安全事件響應(yīng)時(shí)間設(shè)定對(duì)安全事件的響應(yīng)時(shí)間要求確保在發(fā)生安全事件時(shí)能夠迅速響應(yīng)并采取措施財(cái)務(wù)資源信息安全預(yù)算年度信息安全預(yù)算用于采購(gòu)安全設(shè)備、軟件、服務(wù)以及支付相關(guān)費(fèi)用安全投入與效益分析對(duì)信息安全投入進(jìn)行效益分析確保投入與企業(yè)的信息安全需求相匹配信息資源安全策略與標(biāo)準(zhǔn)文檔信息安全策略、標(biāo)準(zhǔn)和操作指南等文檔為員工提供明確的安全指導(dǎo)安全事件日志與報(bào)告安全事件日志的收集、分析和存儲(chǔ)，定期生成安全報(bào)告支持安全決策和持續(xù)改進(jìn)基礎(chǔ)設(shè)施和其他手段安全防護(hù)設(shè)備防火墻、入侵檢測(cè)系統(tǒng)（IDS）、安全信息與事件管理（SIEM）系統(tǒng)等保護(hù)企業(yè)網(wǎng)絡(luò)免受外部威脅加密與身份認(rèn)證技術(shù)加密技術(shù)、身份認(rèn)證技術(shù)確保敏感數(shù)據(jù)的安全性和只有授權(quán)人員的訪問(wèn)軟件安全工具漏洞掃描工具、惡意軟件防護(hù)工具等確保企業(yè)使用的軟件系統(tǒng)的安全性物理安全措施監(jiān)控?cái)z像頭、門禁系統(tǒng)等對(duì)重要服務(wù)器和設(shè)備進(jìn)行物理加固，防止未經(jīng)授權(quán)的訪問(wèn)和破壞ISMS資源的確定與調(diào)整ISMS資源的確定；組織有責(zé)任確定并提供建立、實(shí)施、保持和持續(xù)改進(jìn)信息安全管理體系（ISMS）所需的各類資源；這些資源的配置應(yīng)當(dāng)與ISMS的實(shí)際需求相匹配，確保資源的充足性和合理性。ISMS資源的調(diào)整。隨著ISMS的運(yùn)行和發(fā)展，組織應(yīng)當(dāng)對(duì)資源進(jìn)行適時(shí)的調(diào)整，以響應(yīng)內(nèi)外部環(huán)境的變化和ISMS需求的變化；資源的調(diào)整可能包括增加、減少或重新分配人員、時(shí)間、財(cái)務(wù)、信息、基礎(chǔ)設(shè)施等資源，以確保ISMS的持續(xù)有效性和適應(yīng)性。組織在資源管理方面的責(zé)任組織應(yīng)：估算與ISMS有關(guān)的所有活動(dòng)所需的資源的數(shù)量和質(zhì)量（容量和能力）：組織需要負(fù)責(zé)估算與信息安全管理體系（ISMS）相關(guān)的所有活動(dòng)所需的資源，這包括資源的數(shù)量和質(zhì)量（如容量和能力）的評(píng)估，以確保資源的充足和適用性。獲取所需資源：組織應(yīng)負(fù)責(zé)獲取這些所需的資源，這可能涉及采購(gòu)、租賃、內(nèi)部調(diào)配等多種方式，以確保資源的及時(shí)到位。維護(hù)整個(gè)ISMS流程和特定活動(dòng)的資源：在獲取資源后，組織還需負(fù)責(zé)提供這些資源給到相應(yīng)的部門或人員，確保資源的合理分配和有效利用。根據(jù)ISMS的需求評(píng)審提供的資源，并根據(jù)需要進(jìn)行調(diào)整：組織應(yīng)維護(hù)整個(gè)ISMS流程和特定活動(dòng)的資源，包括資源的更新、維護(hù)、保養(yǎng)等，以確保資源的持續(xù)可用性和穩(wěn)定性；組織還需定期根據(jù)ISMS的需求評(píng)審已提供的資源，并根據(jù)實(shí)際情況進(jìn)行必要的調(diào)整，如增加、減少或替換資源，以保持資源的優(yōu)化配置和滿足ISMS的動(dòng)態(tài)需求。能力能力的定義與分類能力的定義及其影響因素能力是指?jìng)€(gè)人或團(tuán)隊(duì)運(yùn)用所掌握的知識(shí)和技能，以實(shí)現(xiàn)預(yù)期結(jié)果的本領(lǐng)；能力的大小受到知識(shí)、經(jīng)驗(yàn)和智慧等多重因素的影響。能力的分類：特定與通用。從類型上來(lái)看，能力可以劃分為特定能力和通用能力。特定能力通常針對(duì)某一具體領(lǐng)域或技術(shù)，如風(fēng)險(xiǎn)管理等專門技能；通用能力則更加寬泛，包括諸如軟技能（如溝通技巧、團(tuán)隊(duì)協(xié)作等）、可信賴性（如誠(chéng)信、責(zé)任心等），以及基本的技術(shù)和管理方面的知識(shí)。組織內(nèi)的能力管理范圍與機(jī)制。對(duì)于組織而言，能力管理不僅關(guān)乎內(nèi)部員工，還可能涉及在組織控制下工作的其他人員，如承包商、顧問(wèn)等。因此，組織應(yīng)建立相應(yīng)的機(jī)制，必要時(shí)對(duì)這些人員的能力進(jìn)行有效地評(píng)估和管理，以確保他們的工作能夠滿足組織的需求和期望。類別適當(dāng)?shù)慕逃嘤?xùn)要求經(jīng)驗(yàn)要求信息安全管理人員信息安全、計(jì)算機(jī)科學(xué)或相關(guān)專業(yè)學(xué)位信息安全管理體系培訓(xùn)、風(fēng)險(xiǎn)管理培訓(xùn)在信息安全領(lǐng)域有數(shù)年工作經(jīng)驗(yàn)IT技術(shù)支持與維護(hù)人員計(jì)算機(jī)科學(xué)、IT支持或相關(guān)專業(yè)學(xué)位/證書系統(tǒng)和網(wǎng)絡(luò)安全培訓(xùn)、應(yīng)急響應(yīng)培訓(xùn)在IT支持或系統(tǒng)管理領(lǐng)域有工作經(jīng)驗(yàn)開發(fā)人員與程序員計(jì)算機(jī)科學(xué)、軟件開發(fā)或相關(guān)專業(yè)學(xué)位安全編碼實(shí)踐培訓(xùn)、應(yīng)用程序安全培訓(xùn)在軟件開發(fā)領(lǐng)域有工作經(jīng)驗(yàn)，了解安全開發(fā)流程運(yùn)營(yíng)與維護(hù)人員計(jì)算機(jī)科學(xué)、IT運(yùn)維或相關(guān)專業(yè)學(xué)位/證書IT服務(wù)管理培訓(xùn)、災(zāi)難恢復(fù)培訓(xùn)在IT運(yùn)維或數(shù)據(jù)中心運(yùn)營(yíng)領(lǐng)域有工作經(jīng)驗(yàn)業(yè)務(wù)與管理人員商業(yè)管理、項(xiàng)目管理或相關(guān)學(xué)位信息安全意識(shí)培訓(xùn)、項(xiàng)目管理培訓(xùn)在相關(guān)業(yè)務(wù)或管理領(lǐng)域有工作經(jīng)驗(yàn)，了解信息安全對(duì)業(yè)務(wù)的影響物理安全人員安全管理、物理安全或相關(guān)專業(yè)學(xué)位/證書物理安全措施培訓(xùn)、應(yīng)急響應(yīng)培訓(xùn)在安全或設(shè)施管理領(lǐng)域有工作經(jīng)驗(yàn)第三方服務(wù)供應(yīng)商與合作伙伴與所提供服務(wù)相關(guān)的專業(yè)學(xué)位/證書信息安全標(biāo)準(zhǔn)與合規(guī)性培訓(xùn)在相關(guān)服務(wù)領(lǐng)域有工作經(jīng)驗(yàn)，了解信息安全要求用戶與終端用戶基本計(jì)算機(jī)知識(shí)信息安全意識(shí)培訓(xùn)、防釣魚和社交工程培訓(xùn)使用組織信息系統(tǒng)的基本經(jīng)驗(yàn)合規(guī)與審計(jì)人員法律、審計(jì)或相關(guān)專業(yè)學(xué)位信息安全法規(guī)與標(biāo)準(zhǔn)培訓(xùn)、審計(jì)方法培訓(xùn)在合規(guī)或?qū)徲?jì)領(lǐng)域有工作經(jīng)驗(yàn)，了解信息安全法規(guī)和最佳實(shí)踐應(yīng)急響應(yīng)與災(zāi)難恢復(fù)團(tuán)隊(duì)計(jì)算機(jī)科學(xué)、信息安全或相關(guān)專業(yè)學(xué)位應(yīng)急響應(yīng)計(jì)劃培訓(xùn)、災(zāi)難恢復(fù)演練培訓(xùn)在應(yīng)急響應(yīng)或?yàn)?zāi)難恢復(fù)領(lǐng)域有工作經(jīng)驗(yàn)，熟悉應(yīng)急響應(yīng)流程和工具能力的確定、獲取與提升能力的確定；組織需要明確哪些工作人員從事的工作會(huì)對(duì)組織的信息安全績(jī)效產(chǎn)生影響，并確定這些人員所需具備的必要能力；這些必要能力應(yīng)當(dāng)被確定是否需要進(jìn)行文件化記錄，例如通過(guò)工作描述等方式來(lái)明確。能力的獲取；組織應(yīng)確保這些關(guān)鍵人員通過(guò)適當(dāng)?shù)慕逃?、培?xùn)或經(jīng)驗(yàn)積累來(lái)達(dá)到勝任工作的水平；為了提升或獲得必要的能力，組織應(yīng)識(shí)別、策劃并實(shí)施一系列措施，如提供培訓(xùn)課程、研討會(huì)、專業(yè)指導(dǎo)等；對(duì)于某些特定或短期活動(dòng)所需的能力，組織可以選擇雇用或合同聘用已驗(yàn)證其能力的外部人員來(lái)補(bǔ)充。能力的驗(yàn)證與提升；組織應(yīng)對(duì)所采取的措施進(jìn)行有效性評(píng)估，例如通過(guò)考核培訓(xùn)后人員的能力水平，分析新入職人員的能力狀況，以及驗(yàn)證外部資源獲取計(jì)劃是否完成；組織需要驗(yàn)證人員是否勝任其被分配的角色，確保他們具備執(zhí)行任務(wù)所需的能力；隨著時(shí)間的推移和期望的變化，組織應(yīng)確保人員的能力得到持續(xù)地發(fā)展和更新，以滿足當(dāng)前和未來(lái)的需求。保留適當(dāng)?shù)某晌男畔⒔M織需要保留適當(dāng)?shù)臅嫘畔?，這些信息能夠作為證明人員具備必要能力的證據(jù)；這些書面信息應(yīng)涵蓋那些對(duì)信息安全績(jī)效有直接影響的人員所必需的能力；除了記錄必要能力外，組織還應(yīng)文檔化相關(guān)人員是如何滿足這些能力要求的，包括他們的培訓(xùn)記錄、資格認(rèn)證、工作經(jīng)驗(yàn)等；通過(guò)保留這些成文信息，組織可以確保其信息安全管理體系中的人員能力得到充分地驗(yàn)證和記錄，從而滿足ISO/IEC27001:2022標(biāo)準(zhǔn)的要求。意識(shí)總則意識(shí)是指組織控制下工作的人員對(duì)信息安全期望的理解和動(dòng)機(jī)；意識(shí)關(guān)注的是人員應(yīng)知道、理解、接受并：人員需要知道、理解、接受并支持信息安全方針中規(guī)定的目標(biāo)；人員應(yīng)遵守規(guī)則，正確執(zhí)行日常任務(wù)以維護(hù)信息安全。在組織控制下工作的人員應(yīng)知曉：知曉信息安全方針：人員應(yīng)知道組織存在信息安全方針，并了解如何獲取該方針；并非所有員工都需要詳細(xì)了解方針的具體內(nèi)容，但應(yīng)知曉、理解、接受并實(shí)現(xiàn)基于方針制定的、影響他們工作角色的信息安全目標(biāo)和要求；這些信息安全目標(biāo)和要求可能包含在員工預(yù)期要執(zhí)行的標(biāo)準(zhǔn)或程序中，以完成其工作任務(wù)。他們對(duì)ISMS有效性的貢獻(xiàn)：人員需要了解他們的工作如何對(duì)信息安全管理體系（ISMS）的有效性做出貢獻(xiàn)；這包括理解改進(jìn)信息安全績(jī)效所帶來(lái)的益處，以及認(rèn)識(shí)到不符合ISMS要求可能產(chǎn)生的負(fù)面影響。不符合信息安全管理體系要求帶來(lái)的后果：在組織控制下工作的人員必須知道、理解和接受不符合ISMS要求的嚴(yán)重后果；這種不符合可能對(duì)組織的信息安全造成直接威脅，并可能影響人員對(duì)安全事件的響應(yīng)能力。組織在信息安全意識(shí)和培訓(xùn)方面的策劃與準(zhǔn)備組織應(yīng)：組織應(yīng)為每個(gè)受眾（如內(nèi)部和外部人員）準(zhǔn)備特定的信息安全意識(shí)和培訓(xùn)項(xiàng)目；在策劃和準(zhǔn)備過(guò)程中，組織應(yīng)將信息安全的需求和期望融入其他相關(guān)主題的意識(shí)和培訓(xùn)材料中，確保信息安全與實(shí)際運(yùn)營(yíng)環(huán)境緊密結(jié)合；組織應(yīng)制定定期溝通信息安全的策劃，以保持信息安全的持續(xù)關(guān)注和更新；在意識(shí)培訓(xùn)后或培訓(xùn)期間，組織應(yīng)隨機(jī)驗(yàn)證人員對(duì)信息安全消息的知悉和理解情況，確保培訓(xùn)效果；組織還應(yīng)驗(yàn)證人員是否按照所溝通的信息安全要求執(zhí)行，并通過(guò)正反兩面的行為舉例來(lái)強(qiáng)化信息安全意識(shí)。溝通溝通需求與重要性的確認(rèn)：組織需要明確與信息安全管理體系（ISMS）相關(guān)的內(nèi)部和外部溝通需求，這是確保信息安全管理體系有效運(yùn)行的重要環(huán)節(jié)；溝通的必要性；溝通被視為ISMS的關(guān)鍵組成部分，對(duì)于確保信息安全至關(guān)重要；組織必須與內(nèi)部和外部相關(guān)方進(jìn)行充分的溝通，以便及時(shí)傳遞信息、協(xié)調(diào)行動(dòng)并共同應(yīng)對(duì)信息安全挑戰(zhàn)；參照4.2章節(jié)，可以進(jìn)一步理解與相關(guān)方進(jìn)行有效溝通的重要性和方法；溝通的多樣性與多向性；溝通具有多樣性和多向性，可以在組織內(nèi)部的各個(gè)層面進(jìn)行，包括不同部門、層級(jí)之間的縱向和橫向溝通；同時(shí)，溝通也可以在組織與外部相關(guān)方之間進(jìn)行，如客戶、供應(yīng)商、合作伙伴等，形成內(nèi)外聯(lián)動(dòng)的溝通網(wǎng)絡(luò)；溝通可以由組織內(nèi)部發(fā)起，也可以由外部相關(guān)方發(fā)起，體現(xiàn)了溝通的雙向性和互動(dòng)性。溝通的策劃：組織應(yīng)精心策劃溝通活動(dòng)，明確溝通的內(nèi)容、時(shí)間、目標(biāo)受眾以及發(fā)起人；溝通什么：溝通內(nèi)容應(yīng)涵蓋信息安全方針、目標(biāo)、程序、變更等重要信息，以及對(duì)信息安全風(fēng)險(xiǎn)的了解、對(duì)供方的要求和信息安全績(jī)效的反饋等；何時(shí)溝通：確定溝通的最佳時(shí)間點(diǎn)，以確保信息的及時(shí)傳遞和接收方的有效響應(yīng)；與誰(shuí)溝通：明確每次溝通活動(dòng)的目標(biāo)受眾是誰(shuí)，以便更好地定制溝通內(nèi)容和方式；—誰(shuí)來(lái)溝通：確定由誰(shuí)來(lái)發(fā)起溝通，特定內(nèi)容可能需要具備特定知識(shí)或權(quán)威的人員或組織來(lái)負(fù)責(zé)傳遞；識(shí)別哪些過(guò)程在推動(dòng)或發(fā)起溝通活動(dòng)，以及哪些過(guò)程是受溝通活動(dòng)影響的，有助于優(yōu)化溝通流程和效果。溝通的靈活性與方式；溝通具有靈活性，可以根據(jù)需要定期進(jìn)行，也可以隨時(shí)進(jìn)行，以適應(yīng)不斷變化的信息安全環(huán)境；溝通方式可以是主動(dòng)的，如組織發(fā)起的培訓(xùn)、會(huì)議或通知；也可以是被動(dòng)的，如響應(yīng)外部相關(guān)方的詢問(wèn)或請(qǐng)求；靈活多樣的溝通方式有助于更好地滿足內(nèi)外部相關(guān)方的需求，提高溝通效果。溝通過(guò)程、渠道和協(xié)議的選擇；組織應(yīng)合理選擇溝通過(guò)程、渠道和協(xié)議，以確保信息的完整接收、正確理解和有效傳遞；溝通過(guò)程應(yīng)明確、簡(jiǎn)潔且高效，避免信息在傳遞過(guò)程中產(chǎn)生歧義或遺漏；溝通渠道可以包括面對(duì)面交流、電話、電子郵件、即時(shí)通訊工具等多種形式，應(yīng)根據(jù)實(shí)際情況選擇最合適的渠道；必要時(shí)，可以制定書面溝通協(xié)議，明確雙方的責(zé)任和期望，以確保溝通的有效性和可追溯性；所選擇的溝通方式應(yīng)能夠促使接收方采取適當(dāng)?shù)男袆?dòng)或措施，以響應(yīng)傳遞的信息并共同維護(hù)信息安全。溝通內(nèi)容的合理選擇；組織在溝通時(shí)，應(yīng)合理選擇溝通內(nèi)容，確保信息的完整接收和正確理解，以便相關(guān)方能夠采取適當(dāng)措施；溝通內(nèi)容可能包括風(fēng)險(xiǎn)管理計(jì)劃和結(jié)果、信息安全目標(biāo)、實(shí)現(xiàn)的信息安全目標(biāo)、事件或危機(jī)情況、角色責(zé)任和權(quán)限、ISMS過(guò)程要求的信息、ISMS的變更、控制和過(guò)程的評(píng)審發(fā)現(xiàn)、與監(jiān)管機(jī)構(gòu)的溝通事項(xiàng)以及外部相關(guān)方的請(qǐng)求等。溝通要求的確定；組織應(yīng)明確溝通的要求，包括由誰(shuí)進(jìn)行內(nèi)部和外部溝通，并分配適當(dāng)?shù)臋?quán)限給特定角色；溝通可能是觸發(fā)式的或定期的，例如發(fā)現(xiàn)事件時(shí)觸發(fā)溝通；應(yīng)基于高級(jí)影響場(chǎng)景為關(guān)鍵相關(guān)方準(zhǔn)備消息內(nèi)容，并作為溝通計(jì)劃、事件響應(yīng)計(jì)劃或業(yè)務(wù)連續(xù)性計(jì)劃的一部分；要確定溝通內(nèi)容的預(yù)期接收者，并在某些情況下保留清單；溝通方式和渠道應(yīng)專門選擇，以確保信息的正式性和權(quán)限適當(dāng)性，同時(shí)滿足保密性和完整性保護(hù)需求；應(yīng)設(shè)計(jì)過(guò)程和方法，以確保消息已發(fā)送并被正確接收和理解。溝通的分類和處理：根據(jù)組織的要求，對(duì)溝通進(jìn)行分類和處理，以確保溝通的有效性和效率；保留成文信息：組織應(yīng)保留關(guān)于溝通活動(dòng)的成文信息，但僅當(dāng)這種保留對(duì)管理體系的有效性是必要和明確的形式和程度要求時(shí)，才是強(qiáng)制性的。這有助于確保溝通活動(dòng)的可追溯性和持續(xù)改進(jìn)。成文信息總則信息安全管理體系（ISMS）的文件化要求組織的信息安全管理體系應(yīng)包括：強(qiáng)制性成文信息。組織所確定的、為確保其ISMS有效性所必需的成文信息：為確保ISMS有效性而由組織自行確定的其他必要的成文信息，以確保ISMS的有效運(yùn)行。組織確定的成文信息：組織應(yīng)根據(jù)自身情況，確定并創(chuàng)建其他對(duì)ISMS有效性至關(guān)重要的成文信息。這些信息可能涉及組織的特定環(huán)境、角色和責(zé)任分配、風(fēng)險(xiǎn)管理活動(dòng)的結(jié)果、資源分配、預(yù)期能力、意識(shí)與溝通活動(dòng)的計(jì)劃和結(jié)果等。例如：環(huán)境建立結(jié)果（見第4章）；角色、責(zé)任和權(quán)限（見第5章）；不同階段的風(fēng)險(xiǎn)管理報(bào)告（見第6章）；確定和提供的資源（見7.1）；預(yù)期能力（見7.2）；意識(shí)活動(dòng)的計(jì)劃和結(jié)果（見7.3）；溝通活動(dòng)的計(jì)劃和結(jié)果（見7.4）；ISMS必需的外部來(lái)源的成文信息（見7.5.3）；控制成文信息的過(guò)程（見7.5.3）；指導(dǎo)和運(yùn)行信息安全活動(dòng)的方針、規(guī)則和指令；用于實(shí)現(xiàn)、維護(hù)和改進(jìn)ISMS和總體信息安全狀態(tài)的過(guò)程和規(guī)程（見第9章）；措施計(jì)劃；ISMS過(guò)程結(jié)果的證據(jù)（如事件管理、訪問(wèn)控制、信息安全連續(xù)性、設(shè)備維護(hù)等）。ISMS運(yùn)行支持：所有成文信息，無(wú)論是強(qiáng)制性的還是組織自行確定的，都應(yīng)該旨在支持ISMS的有效運(yùn)行。這包括提供指導(dǎo)和運(yùn)行信息安全活動(dòng)的方針、規(guī)則和指令，以及用于實(shí)現(xiàn)、維護(hù)和改進(jìn)ISMS的過(guò)程和規(guī)程；績(jī)效評(píng)價(jià)：成文信息還應(yīng)包含足夠的信息，以支持對(duì)ISMS績(jī)效的評(píng)價(jià)。這可能涉及措施計(jì)劃的執(zhí)行情況、ISMS過(guò)程結(jié)果的證據(jù)（如事件管理記錄、訪問(wèn)控制日志、信息安全連續(xù)性計(jì)劃執(zhí)行情況、設(shè)備維護(hù)記錄等）；實(shí)用性和關(guān)鍵性：所有成文信息都應(yīng)該符合其目的，即它們應(yīng)該是實(shí)際需要的，并包含“關(guān)鍵”信息，以確保相關(guān)人員能夠快速準(zhǔn)確地獲取和使用這些信息。組織特定因素：不同組織的ISMS成文信息的詳略程度可能有所不同。這主要取決于組織的規(guī)模、活動(dòng)、過(guò)程、產(chǎn)品和服務(wù)的類型，以及過(guò)程的復(fù)雜性和人員的能力等因素。因此，組織在創(chuàng)建和維護(hù)ISMS成文信息時(shí)，需要充分考慮這些因素，以確保信息的適用性和有效性。成文信息的數(shù)量和來(lái)源數(shù)量與組織規(guī)模的關(guān)系：所需成文信息的數(shù)量通常與組織的規(guī)模密切相關(guān)。這意味著，隨著組織規(guī)模的增大，為了有效管理和控制信息安全，所需的成文信息量也會(huì)相應(yīng)增加；規(guī)模較大的組織由于其業(yè)務(wù)、過(guò)程和系統(tǒng)的復(fù)雜性，通常需要更多的成文信息來(lái)詳細(xì)規(guī)定和指導(dǎo)ISMS的各個(gè)方面，以確保其一致、有效地運(yùn)行。成文信息的來(lái)源：成文信息可以來(lái)自組織內(nèi)部。這包括組織制定的政策文件、過(guò)程文檔，以及各種記錄（如會(huì)議紀(jì)要、審核報(bào)告、監(jiān)控日志等）。這些內(nèi)部生成的成文信息是ISMS實(shí)施和運(yùn)行的直接產(chǎn)物，反映了組織的特定需求和環(huán)境；成文信息也可以來(lái)源于組織外部。外部來(lái)源包括但不限于法律法規(guī)（如數(shù)據(jù)保護(hù)法、隱私法等）、行業(yè)標(biāo)準(zhǔn)（如ISO/IEC系列標(biāo)準(zhǔn)），以及業(yè)界公認(rèn)的最佳實(shí)踐。這些外部成文信息為組織提供了構(gòu)建和維護(hù)ISMS的法定要求、行業(yè)基準(zhǔn)和參考指南。成文信息的內(nèi)容和使用成文信息的作用：定義和溝通信息安全目標(biāo)、方針、指南、指令、控制、過(guò)程、規(guī)程；指導(dǎo)人員或團(tuán)隊(duì)預(yù)期要做的和如何做；在關(guān)鍵角色人員變動(dòng)時(shí)，用于審核ISMS并保持其穩(wěn)定性；記錄ISMS過(guò)程和信息安全控制的措施、決策和結(jié)果。成文信息的內(nèi)容：包含信息安全目標(biāo)、風(fēng)險(xiǎn)、要求和標(biāo)準(zhǔn)的信息；包含宜遵循的過(guò)程和規(guī)程的信息；包含輸入（例如用于管理評(píng)審）和過(guò)程輸出（包括運(yùn)行活動(dòng)的策劃和輸出）的記錄。成文信息的流轉(zhuǎn)：在ISMS中，許多活動(dòng)都會(huì)產(chǎn)生成文信息；這些成文信息在大多數(shù)情況下將作為其他活動(dòng)的輸入，形成信息的流轉(zhuǎn)和循環(huán)。成文信息的質(zhì)量要求：成文信息應(yīng)當(dāng)符合其預(yù)期用途；滿足實(shí)際需求；包含對(duì)于理解和執(zhí)行相關(guān)任務(wù)至關(guān)重要的“關(guān)鍵”信息。文件管理系統(tǒng)的參考：如果組織希望采用文件管理系統(tǒng)來(lái)管理其成文信息，可以參照ISO30301標(biāo)準(zhǔn)的要求進(jìn)行建立和實(shí)施；這將有助于組織更加系統(tǒng)、高效地管理和利用其成文信息資產(chǎn)，提升ISMS的整體運(yùn)行效率和效果。創(chuàng)建和更新總則標(biāo)識(shí)和說(shuō)明：當(dāng)組織創(chuàng)建或更新成文信息時(shí)，必須確保每份文件都有適當(dāng)?shù)臉?biāo)識(shí)；標(biāo)識(shí)可以包括但不限于標(biāo)題、日期、作者或索引編號(hào)，以便輕松識(shí)別和追蹤文件。格式和介質(zhì)：組織還需要確定成文信息的適當(dāng)格式，如文字處理文檔、電子表格、圖像文件等；選擇適合的存儲(chǔ)介質(zhì)也是重要的，例如硬盤、云服務(wù)、紙質(zhì)文檔等，以確保信息的可訪問(wèn)性和安全性。評(píng)審和批準(zhǔn)：成文信息的創(chuàng)建和更新過(guò)程應(yīng)包括評(píng)審環(huán)節(jié)，以確保內(nèi)容的準(zhǔn)確性和完整性；所有成文信息在正式發(fā)布或使用前都應(yīng)獲得適當(dāng)?shù)呐鷾?zhǔn)，以確保其符合組織的信息安全管理體系標(biāo)準(zhǔn)和要求。文件化方法的定義文件化方法的必要性：組織應(yīng)當(dāng)定義一套文件化方法，這是為了確保文件的清晰、一致和易于管理；通過(guò)這種方法，組織能夠更有效地創(chuàng)建、更新、檢索和使用成文信息；文件的共同屬性：為了唯一地標(biāo)識(shí)每個(gè)文件，組織需要確定一系列共同屬性；這些屬性不僅有助于文件的分類和組織，還能提供關(guān)于文件內(nèi)容和狀態(tài)的重要信息；具體屬性內(nèi)容：文件類型：指明文件的性質(zhì)，如方針、指令、規(guī)則等，便于用戶了解文件的用途和重要性；目的范圍：闡述文件適用的場(chǎng)景和范圍，幫助用戶判斷文件的適用性；標(biāo)題：簡(jiǎn)潔明了地表達(dá)文件主題，便于用戶快速識(shí)別；版本日期：顯示文件的最新版本發(fā)布日期，確保用戶使用的是最新信息；類別：對(duì)文件進(jìn)行更細(xì)致地分類，如按照業(yè)務(wù)領(lǐng)域、項(xiàng)目等劃分；參考編號(hào)：為文件分配唯一編號(hào)，便于檢索和跟蹤；版本號(hào)和修訂歷史：記錄文件的版本變化和修訂情況，便于追溯和管理。文件責(zé)任人信息：作者：標(biāo)識(shí)文件的原始創(chuàng)作者或編寫者；當(dāng)前負(fù)責(zé)人：指明當(dāng)前負(fù)責(zé)文件維護(hù)和管理的人員；應(yīng)用和改進(jìn)：說(shuō)明文件如何被應(yīng)用以及如何進(jìn)行改進(jìn)，確保文件的持續(xù)有效性和適應(yīng)性；批準(zhǔn)信息：記錄文件的批準(zhǔn)人或批準(zhǔn)機(jī)構(gòu)，以及批準(zhǔn)日期等信息，確保文件的權(quán)威性和合規(guī)性。通過(guò)這些措施，組織能夠建立起一個(gè)清晰、高效的文件管理體系，從而支持信息安全管理體系的有效運(yùn)行。成文信息的結(jié)構(gòu)和文件化方式識(shí)別最佳結(jié)構(gòu)和文件化方式：組織需要對(duì)成文信息進(jìn)行詳細(xì)識(shí)別，以確定其最佳的結(jié)構(gòu)和適當(dāng)?shù)奈募绞?。這有助于確保成文信息的清晰性、易于理解性和有效性；建立結(jié)構(gòu)化的成文信息庫(kù)：為了將不同的成文信息關(guān)聯(lián)起來(lái)，組織應(yīng)通過(guò)以下方式建立結(jié)構(gòu)化的成文信息庫(kù)：確定成文信息框架的結(jié)構(gòu)：這涉及整個(gè)成文信息體系的頂層設(shè)計(jì)，包括各個(gè)部分之間的邏輯關(guān)系和層次結(jié)構(gòu)。一個(gè)清晰的框架結(jié)構(gòu)能夠幫助組織更好地組織和管理成文信息；確定成文信息的標(biāo)準(zhǔn)結(jié)構(gòu)：針對(duì)每一類成文信息，組織需要確定其標(biāo)準(zhǔn)的結(jié)構(gòu)格式，包括標(biāo)題、正文、附件等部分的編排方式和內(nèi)容要求。這有助于提高成文信息的規(guī)范性和一致性。提供不同類型成文信息的模板：為了方便員工創(chuàng)建和更新成文信息，組織應(yīng)提供各種類型的成文信息模板。這些模板應(yīng)包含必要的內(nèi)容和格式要求，以及填寫指導(dǎo)和示例；確定準(zhǔn)備、批準(zhǔn)、發(fā)布和管理成文信息的責(zé)任：組織需要明確各項(xiàng)責(zé)任分工，確保有專人負(fù)責(zé)成文信息的準(zhǔn)備、批準(zhǔn)、發(fā)布和管理工作。這有助于保證成文信息的準(zhǔn)確性和及時(shí)性；確定并文件化修訂和批準(zhǔn)過(guò)程：成文信息可能會(huì)隨著時(shí)間和業(yè)務(wù)需求的變化而需要修訂。因此，組織需要確定一個(gè)明確的修訂和批準(zhǔn)過(guò)程，并將其文件化。這可以確保成文信息能夠持續(xù)保持其適宜性和充分性，同時(shí)避免因未經(jīng)授權(quán)的修改而導(dǎo)致的潛在風(fēng)險(xiǎn)。格式和介質(zhì)要求格式要求：在創(chuàng)建和更新成文信息時(shí)，需要確定適宜的文件語(yǔ)言，以確保信息的準(zhǔn)確傳達(dá)和易于理解；文件格式的選擇也是重要的，它應(yīng)確保文件的兼容性、可讀性和長(zhǎng)期保存性；使用的軟件版本應(yīng)明確，以避免因軟件差異導(dǎo)致的信息顯示或功能問(wèn)題；圖表內(nèi)容應(yīng)清晰、專業(yè)，以輔助文字信息，提高文件的整體可讀性和信息傳遞效率。介質(zhì)或載體要求：介質(zhì)或載體的選擇應(yīng)基于信息的性質(zhì)、使用頻率、保存期限和訪問(wèn)需求；物理介質(zhì)（如紙質(zhì)）適用于需要實(shí)體存檔或特定簽名的情況；電子介質(zhì)（網(wǎng)頁(yè)、數(shù)據(jù)庫(kù)、計(jì)算機(jī)日志、計(jì)算機(jī)生成的報(bào)告、音頻和視頻）則便于信息的快速傳播、遠(yuǎn)程訪問(wèn)和長(zhǎng)期保存，同時(shí)應(yīng)考慮其安全性和可備份性；定義介質(zhì)要求時(shí)，還需考慮信息的可移植性和未來(lái)技術(shù)的變化，以確保信息的長(zhǎng)期可用性。表述和寫作風(fēng)格根據(jù)讀者和文件范圍確定表述和寫作風(fēng)格：成文信息的表述和寫作風(fēng)格應(yīng)當(dāng)與預(yù)期的讀者群體相匹配，確保信息能夠準(zhǔn)確、清晰地傳達(dá)給讀者；文件的范圍也會(huì)影響表述和寫作風(fēng)格的選擇，例如，技術(shù)性的文件可能需要使用更專業(yè)的術(shù)語(yǔ)和詳細(xì)的解釋，而面向非技術(shù)讀者的文件則應(yīng)當(dāng)采用更通俗易懂的表達(dá)方式。避免成文信息中的信息重復(fù)：在創(chuàng)建和更新成文信息時(shí)，應(yīng)避免不必要的信息重復(fù)，以提高信息的可讀性和效率；重復(fù)的信息不僅會(huì)增加讀者的閱讀負(fù)擔(dān)，還可能導(dǎo)致信息的不一致性和誤解。在不同文件中使用交叉引用：當(dāng)需要在不同文件中引用相同的信息時(shí)，應(yīng)使用交叉引用的方式，而不是直接復(fù)制粘貼相同的信息；交叉引用可以確保信息的準(zhǔn)確性和一致性，同時(shí)減少信息重復(fù)和更新時(shí)的工作量；通過(guò)交叉引用，讀者可以方便地查找到相關(guān)信息，提高閱讀效率和理解程度。評(píng)審和批準(zhǔn)評(píng)審和批準(zhǔn)的目的：通過(guò)適當(dāng)?shù)墓芾韺舆M(jìn)行評(píng)審和批準(zhǔn)，可以確保成文信息是準(zhǔn)確、符合其制定目的，并且其表述形式和詳細(xì)程度適合預(yù)期的讀者群體；文件編制方法的要求：組織應(yīng)采用的文件編制方法應(yīng)能確保成文信息得到定期評(píng)審，以及所有對(duì)文件的變更都必須經(jīng)過(guò)批準(zhǔn)流程。這樣做可以維持信息的時(shí)效性和準(zhǔn)確性；評(píng)審準(zhǔn)則的確定：適當(dāng)?shù)脑u(píng)審準(zhǔn)則可以基于時(shí)間（例如設(shè)定文件評(píng)審的最大時(shí)間間隔）或內(nèi)容來(lái)制定。這些準(zhǔn)則為評(píng)審活動(dòng)提供了指導(dǎo)和依據(jù)，確保評(píng)審的有效性和針對(duì)性；批準(zhǔn)準(zhǔn)則的定義：批準(zhǔn)準(zhǔn)則應(yīng)被明確定義，以保證成文信息在獲得批準(zhǔn)前是正確無(wú)誤、符合既定目的，并且其格式和詳細(xì)程度適合預(yù)期讀者。這是信息發(fā)布前質(zhì)量控制的重要環(huán)節(jié)；定期評(píng)審的意義：通過(guò)定期評(píng)審，組織可以確保成文信息隨時(shí)間和業(yè)務(wù)環(huán)境的變化而保持其適宜性和充分性，從而支持組織目標(biāo)的實(shí)現(xiàn)。成文信息的控制信息全生命周期管理與可用性保障全生命周期管理：組織應(yīng)對(duì)其信息安全管理體系和ISO/IEC27001:2022標(biāo)準(zhǔn)所要求的成文信息進(jìn)行全面控制，這包括從信息的創(chuàng)建、審批、發(fā)布、使用、更新到最終廢止的每一個(gè)階段。全生命周期管理的目的是確保信息在任何時(shí)候都得到有效管理和保護(hù)；可用性保障：組織需要確保成文信息在需要的地點(diǎn)和時(shí)間是可用的。這意味著無(wú)論何時(shí)何地，只要相關(guān)人員需要訪問(wèn)或使用這些信息，他們都能夠及時(shí)、準(zhǔn)確地獲取。為了滿足這一要求，組織可能需要采取多種措施，如建立有效的信息分發(fā)機(jī)制、設(shè)置安全的遠(yuǎn)程訪問(wèn)途徑，以及進(jìn)行定期的信息備份和恢復(fù)測(cè)試等；信息安全