Управление документами и записями

Для эксплуатации и сопровождения СУИБ необходима полная, доступная и корректная документация, а также контролируемый процесс управления документами, область действия и уровень детализации которого для разных организаций может варьироваться. Ответственность за осуществление надзора над процессом управления документацией должна быть четко определена и согласована.

Требования к управлению документами и записями содержатся в ISO 27001. Эти требования полностью соответствуют требованиям, предъявляемым к документации другими стандартами систем управления, такими как ISO 9001. Они помогают комбинировать различные системы управления и согласованно применять необходимые механизмы контроля документации. Эффективный контроль документов способствует согласованному распространению информации, устраняя неразбериху в отношении состояния СУИБ.

 

_______________________________________

Управление документами и записями:

  • контроль и защита документов и записей;

  • утверждение, анализ и корректировка документов;

  • идентификация изменений и статуса текущих версий;

  • обеспечение доступности, передачи, хранения и уничтожения документов и записей;

  • идентификация устаревших документов и документов, имеющих внешнее происхождение;

  • контроль над распространением документов;

  • предотвращение непреднамеренного использования устаревших документов.

________________________________________

 

Документация включает в себя политики, стандарты, руководства, процедуры, списки проверки, реестр рисков и другие документы, используемые для поддержки СУИБ. В ISO 27001 содержится список документации, которая в обязательном порядке должна быть разработана. Он включает в себя:

  • документированные положения политики безопасности и цели контроля;

  • область действия СУИБ;

  • процедуры и механизмы контроля, поддерживающие СУИБ;

  • описание методологии оценки рисков;

  • отчет об оценке рисков;

  • план обработки рисков;

  • документированные процедуры, которые необходимы для обеспечения эффективного планирования, выполнения и контроля процессов информационной безопасности и описывающие, как измерять эффективность механизмов контроля;

  • записи о процессах СУИБ;

  • декларация о применимости механизмов контроля.

Эта, а также любая другая, документация и записи, необходимые для эксплуатации СУИБ и предоставления свидетельств ее корректного и эффективного функционирования, должны поддерживаться в актуальном состоянии. Некоторая документация, относящаяся к исполнению механизмов контроля СУИБ, может находиться в области ответственности функциональных подразделений, не относящихся к информационной безопасности.