PMP達人-專案管理經驗成長與學習 IT肥蝦個人的專案管理經驗與心得記事與分享。

67愛的鼓勵 2訂閱站台

在資訊單位裏，我們都會發現我們辦公室內存放著滿坑滿谷的文件，舉凡如縈縈大者的公司管理政策、法規與標準，組織圖，軟硬體清冊，網路架構圖…，到每位使用者的權限與申請單。很多單位都有自己的一套分類標準，這分類依據可能已經不可考，或是參考特定的規範而訂定。

針對資訊文件的分類，肥蝦個人以為，如能照國際的標準與規範進行分類，不但能有較完整的架構，在申請國際認證時也能有一定的幫助。憑藉著肥蝦先前上過ISO27001的課程，對於對於ISO27001的初淺認識，建議可以依據ISO27001的架構訂定分類。

在此處必須先強調的是先約定分類的大綱，暫且不要去新增記錄或表單，因為新增表單將會擴大組織的抗拒。表單的適用與新增、變更，需要因應組織的需要與需求去訂定，此處僅是單純的標明分類大類，以供參考！

(1)資訊安全管理政策
如：公司資訊政策、公司資訊作業標準...

(2)資訊安全組織管理作業流程及程序
如：資訊組織架構、聯絡表、聯絡程序、聯絡記錄...

(3)資訊資產管理作業流程及程序
如：資訊資產清冊、資訊標示與處理的程序、資訊資產分類指導綱要

(4)人員安全管理作業流程及程序
如：聘雇合約、營業保密協定、競業禁止協定、教育訓練記錄...

(5)實體安全管理作業流程及程序
如：安全區域進出登記表、安全區域進出授權記錄、硬體(含網路)設備清單、網路架構圖
...

(6)操作安全管理作業流程及程序
如：變更管理程序、變更申請單、職務分工表...

(7)存取控制管理作業流程及程序
如：存取控制政策、使用者工作職掌與其存取權限比對、使用者申請/異動/註銷控制程序、單位人員與系統存在使用者對照表、使用者申請/異動/移除記錄...

(8)資訊系統開發與取得作業流程及程序
如：系統分析文件、採購合約、系統測試記錄、程式設計文件、資料輸入過程的日誌

(9)資訊安全事故管理作業流程及程序
如：資安通報程序、通報聯絡清單、獎懲辦法/記錄...

(10)業務持續管理作業流程及程序
如：營運持續計畫、定期測試的程序與記錄、責任分工表...

(11)符合性管理作業流程及程序
如：管理階層的定期審查記錄、矯正行動報告...

文件的分類標準很多，肥蝦是拋磚引玉，希望大家能貢獻更多的經驗與方式。