ISO 27001 ინფორმაციული უსაფრთხოების მართვის სისტემის დამყარებისას, საჭიროებისამებრ დიდი რაოდენობით დოკუმენტაცია შეიქმნება სისტემაში. ეს დოკუმენტები სისტემის გარეშეა. იმიტომ, რომ ინფორმაციული უსაფრთხოება ორგანიზაცია, რომელიც ადგენს და მართავს მართვის სისტემას ISO 27001 საინფორმაციო უსაფრთხოების მართვის სისტემის სერტიფიკატი როდესაც მას სურს მიიღოს, მას უნდა მისცეს ეს დოკუმენტები შესაბამისი სერტიფიცირების ორგანოს. იმიტომ, რომ სერტიფიცირების ორგანო როდესაც ისინი მუშაობას დაიწყებენ, ისინი პირველი ინსპექტირებას მიიღებენ ამ დოკუმენტებზე და შემდეგ აუდიტორები ფირმის ადგილმდებარეობას დააკვირდებიან და დააკვირდებიან იმ ფაქტს, რომ ფაქტობრივი დოკუმენტები მომზადებულია დოკუმენტებთან ერთად.

ახლა, მოდით შევამოწმოთ შესაბამისი დოკუმენტები სერტიფიკაციის ორგანოში, რათა განახორციელონ ეს გამოცდები:

  • ინფორმაციული უსაფრთხოების მართვის სახელმძღვანელო. მიზეზი, რის გამოც ორგანიზაციას ეს სისტემა სჭირდება, რა არის რისკების დაცვა ინფორმაციული დაცვა, შესაძლო უსაფრთხოების ხარვეზები, რისკის მართვა და როგორ უნდა შეიქმნას ინფორმაციული უსაფრთხოების პოლიტიკა.
  • ინფორმაციული უსაფრთხოების მართვის სისტემების პოლიტიკა. პოლიტიკა მზადდება ორგანიზაციის ხელმძღვანელობის გადაწყვეტილების შესაბამისად. ამ პოლიტიკას, რომელიც პირდაპირ კავშირშია ორგანიზაციის საქმიანობის სფეროში, არის შემდეგი: ზოგადი პოლიტიკა, ინფორმაციული პოლიტიკის ხელმისაწვდომობა, პაროლით დაცული პოლიტიკა, ინფორმაციული სისტემების სარეზერვო პოლიტიკა, სერვერის უსაფრთხოების პოლიტიკა, მონაცემთა განადგურების პოლიტიკა, პერსონალის უსაფრთხოების პოლიტიკა, ვიზიტორთა მიღების პოლიტიკა, ფიზიკური უსაფრთხოების პოლიტიკა, პასუხისმგებლობის პოლიტიკა ინფორმაციის აქტივებისთვის.
  • ინფორმაციული უსაფრთხოების მართვის სისტემების პროცედურები. რისკების მართვის პროცედურა, ინციდენტის დარღვევის პროცედურა, დისციპლინური პროცედურა, ბიზნესის უწყვეტობის პროცედურა და მსგავსი პროცედურები, რომელსაც ორგანიზაცია უნდა მოემზადებინათ სისტემაში.
  • სამუშაო განმარტებები. თანამშრომელთა უფლებამოსილება და პასუხისმგებლობა ინფორმაციული უსაფრთხოებისათვის უნდა იყოს შეტანილი მათი სამუშაო აღწერილობაში.
  • ინფორმაციული უსაფრთხოების ინსტრუქციები. ზემოთ აღწერილი პროცედურების შესაბამისად, სისტემის ოთახი ოპერაციული ინსტრუქციები, VPN უსაფრთხოების ინსტრუქციები, სერვერი სარემონტო ინსტრუქციები და მსგავსი აპლიკაციის ინსტრუქციები ხელმისაწვდომი უნდა იყოს.
  • ფორმები. ბევრი ახალი ფორმა უნდა განხორციელდეს იმის უზრუნველსაყოფად, რომ სისტემა შეუფერხებლად და სისტემურად ხორციელდება.

ამ დოკუმენტაციის გარეშე, არ არის შესაძლებელი ორგანიზაციაში სერტიფიცირების სამუშაოების დაწყება.

ISO 27001 შეგიძლიათ დაუკავშირდეთ თერსერტის სერტიფიცირების ინსტიტუტის გამოცდილ მენეჯერს და თანამშრომლებს, რომელთა შესახებ საჭიროა დოკუმენტაცია ინფორმაციის უსაფრთხოების მართვის სისტემის სერტიფიკატის მისაღებად.