4.3.1 Общие положения
Документация должна включать в себя записи решений руководства, позволяющие обеспечивать контроль выполнения решений руководства и политик организации, а также обеспечивать воспроизводимость документированных результатов.
Важно иметь обратную связь выбранных мер управления с результатами процессов оценки и обработки риска, а также последних с политикой СМИБ и целями СМИБ.
Документация СМИБ должна включать в себя следующее:
a) документированные положения политики СМИБ [см. 4.2.1, перечисление b)] и целей СМИБ;
b) область функционирования СМИБ [см. 4.2.1, перечисление а)];
c) процедуры и меры управления, поддерживающие СМИБ;
d) описание методологии оценки риска [см. 4.2.1, перечисление с)];
e) отчет по оценке рисков [см. 4.2.1, перечисления с) - g)];
f) план обработки рисков;
g) документированные процедуры, необходимые организации для обеспечения эффективного планирования, внедрения процессов в области ИБ и управления этими процессами, а также описания путей оценки результативности мер управления [см. 4.2.3, перечисление с)];
h) учетные записи (см. 4.3.3);
i) положение о применимости.
Примечания:
1 Согласно настоящему стандарту термин "документированная процедура" означает, что процедура установлена, документально оформлена, реализована и поддерживается на должном уровне.
2 Для разных организаций объем документации СМИБ может быть различным в зависимости:
- от размера организации и вида ее деятельности;
- от области применения и сложности требований безопасности и от управляемой системы.
3 Документы и учетные записи могут существовать в любой форме и на носителях любого типа.
4.3.2 Управление документами
Для разработки, актуализации, использования, хранения и уничтожения документов СМИБ, а также их защиты в организации должна существовать документированная процедура, определяющая действия руководства по:
a) утверждению документов СМИБ перед их изданием;
b) пересмотру и обновлению, при необходимости, документов, а также повторному их утверждению;
c) обеспечению идентификации внесенных изменений и текущего статуса документов;
d) обеспечению наличия версий соответствующих документов в местах их использования;
е) определению порядка просмотра документов и их идентификации;
f) обеспечению доступа к документам авторизованным лицам, а также передачи, хранения и уничтожения в соответствии с процедурами, применимыми к степени их конфиденциальности;
g) идентификации документов, созданных вне организации;