编写信息管理体系程序文件时应注意:
程序文件要符合组织业务运作的实际,并具有可操作性;
可检查性。实施信息管理体系的一个重要标志就是有效性的验证。程序文件主要体现可检查性,必要时附相应的控制标准; 在正式编写程序文件之前,组织应根据标准的要求、风险评估的结果及组织的实际对程序文件的数量及其控制要点进行策划,确保每个程序之间要有必要的衔接,避免相同的内容在不同的程序之间有较大的重复;另外,在能够实现控制的前提下,程序文件数量和每个程序的篇幅越少越好; 程序文件应得到本活动相关部门负责人同意和接受,必须经过审批,注明修订情况和有效期。
PDCA的应用
P—建立信息管理体系环境&风险评估
要启动PDCA 循环,必须有“启动器”:提供必须的资源、选择风险管理方法、确定评审方法、文件化实践。设计策划阶段就是为了确保正确建立信息管理体系的范围和详略程度,识别并评估所有的信息风险,为这些风险制定适当的处理计划。策划阶段的所有重要活动都要被文件化,以备将来追溯和控制更改情况。
1.确定范围和方针
信息管理体系可以覆盖组织的全部或者部分。无论是全部还是部分,组织都必须明确界定体系的范围,如果体系仅涵盖组织的一部分这就变得更重要了。组织需要文件化信息管理体系的范围,信息管理体系范围文件应该涵盖:
确立信息管理体系范围和体系环境所需的过程; 战略性和组织化的信息管理环境; 组织的信息风险管理方法; 信息风险评价标准以及所要求的保证程度; 信息资产识别的范围。 信息管理体系也可能在其他信息管理体系的控制范围内。在这种情况下,上下级控制的关系有下列两种可能:
下级信息管理体系不使用上级信息管理体系的控制:在这种情况下,上级信息管理体系的控制不影响下级信息管理体系的PDCA 活动; 下级信息管理体系使用上级信息管理体系的控制:在这种情况下,上级信息管理体系的控制可以被认为是下级信息管理体系策划活动的“外部控制”。尽管此类外部控制并不影响下级信息管理体系的实施、检查、措施活动,但是下级信息管理体系仍然有责任确认这些外部控制提供了充分的保护。 方针是关于在一个组织内,指导如何对信息资产进行管理、保护和分配的规则、指示,是组织信息管理体系的基本法。组织的信息方针,描述信息在组织内的重要性,表明管理层的承诺,提出组织管理信息的方法,为组织的信息管理提供方向和支持。
2、定义风险评估的系统性方法
确定信息风险评估方法,并确定风险等级准则。评估方法应该和组织既定的信息管理体系范围、信息需求、法律法规要求相适应,兼顾效果和效率。组织需要建立风险评估文件,解释所选择的风险评估方法、说明为什么该方法适合组织的要求和业务环境,介绍所采用的技术和工具,以及使用这些技术和工具的原因。评估文件还应该规范下列评估细节:a.信息管理体系内资产的估价,包括所用的价值尺度信息;b. 威胁及薄弱点的识别;c.可能利用薄弱点的威胁的评估,以及此类事故可能造成的影响;d.以风险评估结果为基础的风险计算,以及剩余风险的识别。