| ISO/IEC 27001: 2022标准 正文 7 Support 支持/7.5 Documented information 文件化信息 |
7.5 Documented information 文件化信息 7.5.1 General 总则 The organization’s information security management system shall include: 组织的信息安全管理体系应包括: a) documented information required by this document; and a) 本文件要求的文件化信息;以及 b) documented information determined by the organization as being necessary for the effectiveness of the information security management system. b) 为信息安全管理体系的有效性,组织所确定的必要的文件化信息。 NOTE The extent of documented information for an information security management system can differ from one organization to another due to: 注:不同组织有关信息安全管理体系文件化信息的详略程度可以是不同的,这是由于: 1) the size of organization and its type of activities, processes, products and services; 1) 组织的规模及其活动、过程、产品和服务的类型; 2) the complexity of processes and their interactions; and 2) 过程及其相互作用的复杂性;以及 3) the competence of persons. 3) 人员的能力。 7.5.2 Creating and updating 创建和更新 When creating and updating documented information the organization shall ensure appropriate: 创建和更新文件化信息时,组织应确保适当的: a) identification and description (e.g. a title, date, author, or reference number); a) 标识和描述(例如标题、日期、作者或引用编号); b) format (e.g. language, software version, graphics) and media (e.g. paper, electronic); and b) 格式(例如语言、软件版本、图表)和介质(例如纸质的、电子的); c) review and approval for suitability and adequacy. c) 对适宜性和充分性的评审和批准。 7.5.3 Control of documented information 文件化信息的控制 Documented information required by the information security management system and by this document shall be controlled to ensure: 信息安全管理体系及本文件所要求的文件化信息应得到控制,以确保: a) it is available and suitable for use, where and when it is needed; and a) 在需要的场合和时机,均可获得并适用; b) it is adequately protected (e.g. from loss of confidentiality, improper use, or loss of integrity). b) 得到充分的保护(如避免保密性损失、不恰当使用、完整性损失等)。 For the control of documented information, the organization shall address the following activities, as applicable: 为控制文件化信息,适用时,组织应进行以下活动: c) distribution, access, retrieval and use; c) 分发,访问,检索和使用; d) storage and preservation, including the preservation of legibility; d) 存储和保护,包括保持可读性; e) control of changes (e.g. version control); and e) 控制变更(例如,版本控制);以及 f) retention and disposition. f) 保留和处置。 Documented information of external origin, determined by the organization to be necessary for the planning and operation of the information security management system, shall be identified as appropriate, and controlled. 对于组织确定的策划和运行信息安全管理体系所必需的来自外部的文件化信息,组织应进行适当识别,并予以控制。 NOTE Access can imply a decision regarding the permission to view the documented information only, or the permission and authority to view and change the documented information, etc. 注:对文件化信息的“访问”可能意味着仅允许查阅,或者意味着允许查阅并授权修改等其他权限。 |
| ISO/IEC 27001:2013标准 正文 7 支持/7.5 文件化信息 |
7.5.1 总则 组织的信息安全管理体系应包括: a) 本标准要求的文件化信息; b) 为信息安全管理体系的有效性,组织所确定的必要的文件化信息。 注:不同组织有关信息安全管理体系文件化信息的详略程度可以是不同的,这是由于: 1) 组织的规模及其活动、过程、产品和服务的类型; 2) 过程及其相互作用的复杂性; 3) 人员的能力。 7.5.2 创建和更新 创建和更新文件化信息时,组织应确保适当的: a) 标识和描述(例如标题、日期、作者或引用编号); b) 格式(例如语言、软件版本、图表)和介质(例如纸质的、电子的); c) 对适宜性和充分性的评审和批准。 7.5.3 文件化信息的控制 信息安全管理体系及本标准所要求的文件化信息应得到控制,以确保: a) 在需要的地点和时间,是可用的和适宜使用的; b) 得到充分的保护(如避免保密性损失、不恰当使用、完整性损失等)。 为控制文件化信息,适用时,组织应强调以下活动: c) 分发,访问,检索和使用; d) 存储和保护,包括保持可读性; e) 控制变更(例如版本控制); f) 保留和处理。 组织确定的为规划和运行信息安全管理体系所必需的外来的文件化信息,应得到适当的识别,并予以控制。 注:访问隐含着仅允许浏览文件化信息,或允许和授权浏览及更改文件化信息等决定。 |
标准解析:
- 本条款(ISO/IEC 27001: 2022)与ISO/IEC 27001: 2013比较,有轻微的变化,实施新版要求时,不需要做特别的变更。在新版中,7.5.1和7.5.3将以前的“International Standard”改成了“document”,另外新版中7.5.3注解中,将以前的“Access implies a decision”改成了“Access can imply a decision”。
- 本条款是信息安全管理体系相关文件和记录管理的要求,基本与其他管理体系(如ISO 9001、ISO 45001等)要求是一致的,因此在实施本条款的时候,可以直接用组织原有的《文件化信息控制程序》,文件中应包含信息安全管理体系相关文件(包含记录)的评审、发布、存储、回收以及销毁流程和要求。
- 应按照ISO/IEC 27001:2022要求,形成书面的信息安全管理手册,相关管程序文件,操作规范,和相应的运行记录。
- 在《文件化信息控制程序》中,应明确组织文件化信息的安全级别和标识方案及要求。
实施本条款应输出的文档:
- 《文件化信息控制程序》;
- 信息安全管理体系文件清单和相关记录清单;
- 文件评审记录、文件发放和回收记录以及文件销毁记录等。
本条款审核要点:
- 审核《文件化信息控制程序》中是否包含文件(包含记录)的评审、发布、存储、回收以及销毁流程和要求;
- 审核《文件化信息控制程序》是否有文件化信息的安全级别和标识方案及要求,查看相关文件和记录验证是否有执行;
- 查看相关文件评审记录、文件发放和回收记录以及文件销毁记录等。
