2009年6月10日 星期三

資訊相關文件的分類方式-利用ISO27001為分類的依據


在資訊單位裏,我們都會發現我們辦公室內存放著滿坑滿谷的文件,舉凡如縈縈大者的公司管理政策、法規與標準,組織圖,軟硬體清冊,網路架構圖…,到每位使用者的權限與申請單。很多單位都有自己的一套分類標準,這分類依據可能已經不可考,或是參考特定的規範而訂定。

針對資訊文件的分類,肥蝦個人以為,如能照國際的標準與規範進行分類,不但能有較完整的架構,在申請國際認證時也能有一定的幫助。憑藉著肥蝦先前上過ISO27001的課程,對於對於ISO27001的初淺認識,建議可以依據ISO27001的架構訂定分類。

在此處必須先強調的是先約定分類的大綱,暫且不要去新增記錄或表單,因為新增表單將會擴大組織的抗拒。表單的適用與新增、變更,需要因應組織的需要與需求去訂定,此處僅是單純的標明分類大類,以供參考!

(1)資訊安全管理政策
如:公司資訊政策、公司資訊作業標準...

(2)資訊安全組織管理作業流程及程序
如:資訊組織架構、聯絡表、聯絡程序、聯絡記錄...

(3)資訊資產管理作業流程及程序
如:資訊資產清冊、資訊標示與處理的程序、資訊資產分類指導綱要

(4)人員安全管理作業流程及程序
如:聘雇合約、營業保密協定、競業禁止協定、教育訓練記錄...

(5)實體安全管理作業流程及程序
如:安全區域進出登記表、安全區域進出授權記錄、硬體(含網路)設備清單、網路架構圖
...

(6)操作安全管理作業流程及程序
如:變更管理程序、變更申請單、職務分工表...

(7)存取控制管理作業流程及程序
如:存取控制政策、使用者工作職掌與其存取權限比對、使用者申請/異動/註銷控制程序、單位人員與系統存在使用者對照表、使用者申請/異動/移除記錄...

(8)資訊系統開發與取得作業流程及程序
如:系統分析文件、採購合約、系統測試記錄、程式設計文件、資料輸入過程的日誌

(9)資訊安全事故管理作業流程及程序
如:資安通報程序、通報聯絡清單、獎懲辦法/記錄...

(10)業務持續管理作業流程及程序
如:營運持續計畫、定期測試的程序與記錄、責任分工表...

(11)符合性管理作業流程及程序
如:管理階層的定期審查記錄、矯正行動報告...

文件的分類標準很多,肥蝦是拋磚引玉,希望大家能貢獻更多的經驗與方式。

沒有留言:

張貼留言