24h購物| | PChome| 登入
2009-06-11 10:50:44| 人氣3,616| 回應0 | 上一篇 | 下一篇

資訊相關文件的分類方式-利用ISO27001為分類的依據

推薦 0 收藏 0 轉貼0 訂閱站台



在資訊單位裏,我們都會發現我們辦公室內存放著滿坑滿谷的文件,舉凡如縈縈大者的公司管理政策、法規與標準,組織圖,軟硬體清冊,網路架構圖…,到每位使用者的權限與申請單。很多單位都有自己的一套分類標準,這分類依據可能已經不可考,或是參考特定的規範而訂定。

針對資訊文件的分類,肥蝦個人以為,如能照國際的標準與規範進行分類,不但能有較完整的架構,在申請國際認證時也能有一定的幫助。憑藉著肥蝦先前上過ISO27001的課程,對於對於ISO27001的初淺認識,建議可以依據ISO27001的架構訂定分類。

在此處必須先強調的是先約定分類的大綱,暫且不要去新增記錄或表單,因為新增表單將會擴大組織的抗拒。表單的適用與新增、變更,需要因應組織的需要與需求去訂定,此處僅是單純的標明分類大類,以供參考!

(1)資訊安全管理政策
如:公司資訊政策、公司資訊作業標準...

(2)資訊安全組織管理作業流程及程序
如:資訊組織架構、聯絡表、聯絡程序、聯絡記錄...

(3)資訊資產管理作業流程及程序
如:資訊資產清冊、資訊標示與處理的程序、資訊資產分類指導綱要

(4)人員安全管理作業流程及程序
如:聘雇合約、營業保密協定、競業禁止協定、教育訓練記錄...

(5)實體安全管理作業流程及程序
如:安全區域進出登記表、安全區域進出授權記錄、硬體(含網路)設備清單、網路架構圖
...

(6)操作安全管理作業流程及程序
如:變更管理程序、變更申請單、職務分工表...

(7)存取控制管理作業流程及程序
如:存取控制政策、使用者工作職掌與其存取權限比對、使用者申請/異動/註銷控制程序、單位人員與系統存在使用者對照表、使用者申請/異動/移除記錄...

(8)資訊系統開發與取得作業流程及程序
如:系統分析文件、採購合約、系統測試記錄、程式設計文件、資料輸入過程的日誌

(9)資訊安全事故管理作業流程及程序
如:資安通報程序、通報聯絡清單、獎懲辦法/記錄...

(10)業務持續管理作業流程及程序
如:營運持續計畫、定期測試的程序與記錄、責任分工表...

(11)符合性管理作業流程及程序
如:管理階層的定期審查記錄、矯正行動報告...

文件的分類標準很多,肥蝦是拋磚引玉,希望大家能貢獻更多的經驗與方式。

台長: IT肥蝦
人氣(3,616) | 回應(0)| 推薦 (0)| 收藏 (0)| 轉寄
全站分類: 圖文創作(詩詞、散文、小說、懷舊、插畫) | 個人分類: IT技能學習心得 |
此分類下一篇:『統計 Versus資料探勘』之我見
此分類上一篇:「電腦一開就會洩密」讀後心得

是 (若未登入"個人新聞台帳號"則看不到回覆唷!)
* 請輸入識別碼:
請輸入圖片中算式的結果(可能為0) 
(有*為必填)
TOP
詳全文