信息安全管理體系的原則:
程序文件壹般不涉及純技術細節,通常在作業指導書或作業指導書上有明確規定;
程序性文件是對影響信息安全的各種活動的目標和實施的規定。它們應明確影響信息安全的管理者、執行者、審核者或審查者的責任、權力和關系,並說明實施各種活動的方式、應采用的文件和應采用的控制方法。
程序文件的範圍和詳細程度應取決於安全工作的復雜性、所使用的方法以及參與該活動的人員的技能、素質和培訓水平;
程序文件應簡明、清晰、易懂,以使其具有可操作性和可檢查性;
程序文件應保持統壹的結構和格式,以便於理解和使用文件。
信息安全管理體系中的註意事項:
程序文件應符合組織業務的實際運作,並具有可操作性;
可檢查性。實施信息安全管理體系的壹個重要標誌是有效性的驗證。程序文件主要體現可檢查性,必要時有相應的控制標準;
在正式編制程序文件之前,組織應根據標準的要求、風險評估的結果和組織的實際情況,規劃程序文件的數量及其控制點,以保證各程序之間的必要聯系,避免不同程序之間相同內容的大量重復;另外,在安全可控的前提下,程序文件的數量和每個程序的長度要盡可能的小;
程序文件應得到本活動相關部門負責人的同意和接受,必須得到批準,並註明修訂和有效期。