7.5文件化信息

7.5.1總則

組織的信息安全管理體系應包括：

a)本標準要求的文件化信息；

b)為信息安全管理體系的有效性，組織所確定的必要的文件化信息。

注：不同組織有關信息安全管理體系文件化信息的詳略程度可以是不同的，這是由于：

1)組織的規模及其活動、過程、產品和服務的類型；

2)過程及其相互作用的復雜性；

3)人員的能力。

7.5.2創建和更新

創建和更新文件化信息時，組織應確保適當的：

a)標識和描述(例如標題、日期、作者或引用編號)；

b)格式(例如語言、軟件版本、圖表)和介質(例如紙質的、電子的)；

c)對適宜性和充分性的評審和批準。

7.5.3文件化信息的控制

信息安全管理體系及本標準所要求的文件化信息應得到控制，以確保：

a)在需要的地點和時間，是可用的和適宜使用的；

b)得到充分的保護(如避免保密性損失、不恰當使用、完整性損失等)。

為控制文件化信息，適用時，組織應強調以下活動：

c)分發，訪問，檢索和使用；

d)存儲和保護，包括保持可讀性；

e)控制變更(例如版本控制)；

f)保留和處理。

組織確定的為規劃和運行信息安全管理體系所必需的外來的文件化信息，應得到適當的識別，并予以控制。

注：訪問隱含著僅允許瀏覽文件化信息，或允許和授權瀏覽及更改文件化信息等決定。