Cấu trúc bộ tài liệu ISO27001:2022

  1. Home /
    2. An toàn Thông tin /
  2. Cấu trúc bộ tài liệu ISO27001:2022
An toàn Thông tin Hệ thống Quản lý Tư vấn ISO 27001

Cấu trúc bộ tài liệu ISO27001:2022

Cách cấu trúc bộ tài liệu HTQL ATTT (ISMS) của doanh nghiệp

Tiêu chuẩn quốc tế ISO 10013 Hướng dẫn về tài liệu hệ thống quản lý chung đưa ra hướng dẫn để xác định kích thước hiệu quả của tài liệu ISMS, cũng như tổng quan về nội dung và cấu trúc được khuyến nghị của các loại tài liệu ISMS khác nhau. Các khuyến nghị sau đây có tính đến các hướng dẫn của ISO 10013.

Cấu trúc bộ tài liệu cho hệ thống quản lý an toàn thông tin ISO27001

1) Chính sách an toàn thông tin (ATTT).

Một chính sách đại diện cho một tuyên bố tuyên bố của một tổ chức. Chính sách ATTT cần nêu rõ cam kết của tổ chức đối với ATTT và cải tiến liên tục. Thông thường, chính sách này được sử dụng cho mục đích quảng cáo và phải được hiển thị trong cơ sở của tổ chức và đăng trên các trang web, do đó Chính sách ATTT rõ ràng và ngắn gọn sẽ thuận tiện và là thông lệ chung.

Chính sách ATTT xác định các mục tiêu chất lượng mà tổ chức phấn đấu. Mục tiêu ATTT của tổ chức được xác định bằng cách định lượng các mục tiêu ATTT.

2) Sổ tay ATTTT.

Hướng dẫn phải phù hợp với tổ chức của bạn. Cấu trúc và nội dung của sổ tay có thể khác nhau tùy thuộc vào quy mô của tổ chức, mức độ phức tạp của hoạt động và năng lực của nhân viên. Các tổ chức nhỏ có thể ghi lại toàn bộ ISMS trong một sổ tay. Mặt khác, các tổ chức quốc tế lớn có thể có nhiều sổ tay ATTT khác nhau. Nói chung, hướng dẫn bao gồm phạm vi ISMS, các loại trừ khỏi tiêu chuẩn, tài liệu tham khảo cho các tài liệu liên quan và mô hình quy trình kinh doanh. Chính sách ATTT và các mục tiêu cũng có thể là một phần của sổ tay.

Sổ tay ATTT nên bao gồm hầu hết các yếu tố sau: tiêu đề và mục lục; phạm vi của ISMS; các kiểm soát không áp dụng trong SoA – ISO27001, thông tin phiên bản và phê duyệt; Chính sách và mục tiêu ATTT; Mô tả ISMS, mô hình quá trình nghiệp vụ của tổ chức; xác định trách nhiệm cho tất cả nhân viên; và tham chiếu đến các tài liệu liên quan và các phụ lục có liên quan. Bạn có thể tìm thêm thông tin về cách lập tài liệu Sổ tay ATTT hiệu quả trong bài viết này: Viết Sổ tay ATTT ngắn.

3) Quy trình ATTT.

Các quy trình ATTT có thể có các định dạng và cấu trúc khác nhau. Chúng có thể là tường thuật, tức là được mô tả thông qua văn bản; chúng có thể được cấu trúc hơn bằng cách sử dụng bảng; chúng có thể mang tính minh họa hơn, tức là, biểu đồ dòng chảy; hoặc chúng có thể là bất kỳ sự kết hợp nào ở trên.

Các quy trình ATTT phải bao gồm các yếu tố sau:

  • Tiêu đề – để xác định thủ tục
  • Mục đích – mô tả cơ sở lý luận đằng sau thủ tục
  • Phạm vi – để giải thích những khía cạnh nào sẽ được đề cập trong quy trình và những khía cạnh nào sẽ không được đề cập
  • Trách nhiệm và quyền hạn của tất cả mọi người/các chức năng có trong bất kỳ phần nào của quy trình
  • Định nghĩa và danh sách tất cả các hồ sơ là kết quả của các hoạt động được mô tả trong thủ tục
  • Kiểm soát tài liệu – xác định các thay đổi, ngày xem xét, phê duyệt và phiên bản của tài liệu phải được đưa vào theo thông lệ đã được thiết lập để kiểm soát tài liệu
  • Mô tả các hoạt động – đây là phần chính của quy trình; nó liên quan đến tất cả các yếu tố khác của thủ tục và mô tả những gì nên được thực hiện, bởi ai và như thế nào, khi nào và ở đâu. Trong một số trường hợp, “tại sao” cũng cần được làm rõ. Ngoài ra, đầu vào và đầu ra của các hoạt động cần được giải thích, bao gồm các nguồn lực cần thiết.
  • Phụ lục có thể được bao gồm, nếu cần thiết.


4) Hướng dẫn công việc.

Hướng dẫn công việc có thể là một phần của quy trình hoặc chúng có thể được tham chiếu trong quy trình. Nói chung, các hướng dẫn công việc có cấu trúc tương tự như các quy trình và bao gồm các yếu tố giống nhau; tuy nhiên, các hướng dẫn công việc bao gồm chi tiết về các hoạt động cần được thực hiện, tập trung vào trình tự các bước, công cụ và phương pháp sẽ được sử dụng và độ chính xác cần thiết.

Đào tạo nhân sự và sử dụng nhân viên có năng lực có thể làm giảm nhu cầu hướng dẫn công việc rất chi tiết. Bạn có thể tìm thêm chi tiết về bài viết này trong Sử dụng năng lực, đào tạo và nhận thức để thay thế tài liệu trong ISMS của bạn.

5) Hồ sơ, biểu mẫu.

Để chứng minh rằng các quy trình của bạn đáp ứng yêu cầu của họ, bạn sẽ muốn giữ lại một số bằng chứng; đây là nơi các biểu mẫu và hồ sơ được sử dụng. Hồ sơ là những gì đã được chủ sở hữu quy trình lựa chọn để chứng minh rằng quy trình và các hoạt động đã được tiến hành theo cách thức được quy định trong các thủ tục và hướng dẫn công việc. Biểu mẫu là các mẫu trống được điền thông tin sẽ trở thành các bản ghi này. Làm cho hồ sơ và biểu mẫu của bạn trở nên thiết thực bằng cách viết ngắn gọn và đơn giản những thông tin được yêu cầu; không bắt nhân viên viết luận để hoàn thành biểu mẫu và tạo hồ sơ.

Bạn đã sẵn sàng trên hành trình nâng cao tri thức về Hệ thống Quản lý An toàn Thông tin:

Liên hệ ngay để được hỗ trợ

Hotline: 0777.174.471

HQC Training Consulting

Để lại một bình luận

Email của bạn sẽ không được hiển thị công khai. Các trường bắt buộc được đánh dấu *

shares
error: Content is protected !!