Hệ thống tài liệu ISO 27001

Căn cứ nội dung tiêu chuẩn ISO 27001, ta có thể xác định những tài liệu, hồ sơ tổ
chức bắt buộc phải xây dựng theo yêu cầu của tiêu chuẩn (“Tổ chức phải lưu trữ
thông tin dạng văn bản...”)
I. Danh sách tài liệu bắt buộc

STT Tên tài liệu Tham chiếu

1 Phạm vi của ISMS 4.3
5.2 (chính sách) và 6.2
2 Chính sách và mục tiêu an toàn thông tin
(mục tiêu)
3 Đánh giá rủi ro và phương pháp xử lý rủi ro 6.1.2
4 Kế hoạch xử lý rủi ro 6.1.3, 6.2 và 8.3
5 Tuyên bố về khả năng áp dụng 6.1.3
6 Báo cáo đánh giá và xử lý rủi ro 8.2 và 8.3
A.7.1.2 và A.13.2.4
(tương ứng A.6.2 và
7 Vai trò và trách nhiệm bảo mật
A.6.6 trong ISO/IEC
27001:2022)
A.8.1.1 (tương ứng
8 Kiểm kê tài sản A.5.9 trong ISO/IEC
27001:2022)
A.8.1.3 (tương ứng
9 Quản lý việc sử dụng tài sản A.5.10 trong ISO/IEC
27001)
A.9.1.1 (tương ứng
10 Chính sách kiểm soát truy cập A.5.15 trong ISO/IEC
27001:2022)
A.12.1.1 (tương ứng
11 Quy trình vận hành quản lý CNTT A.5.37 trong ISO/IEC
27001:2022)
12 Các nguyên tắc kỹ thuật an toàn hệ thống A.14.2.4 (tương ứng
A.8.27 trong ISO/IEC
 27001:2022)
A.15.1.1 (tương ứng
13 Chính sách bảo mật đối với nhà cung cấp A.5.19 trong ISO/IEC
27001:2022)
A.16.1.5 (tương ứng
14 Quy trình quản lý sự cố A.5.26 trong ISO/IEC
27001:2022)
A.17.1.2 (tương ứng
Kế hoạch đảm bảo sự liên tục trong kinh
15 A.5.29 trong ISO/IEC
doanh
27001:2022)
A.18.1.1 (tương ứng
16 Các yêu cầu luật định, quy định và hợp đồng A.5.31 trong ISO/IEC
27001:2022)
A.8.9 trong ISO/IEC
17 Quy định cấu hình bảo mật
27001:2022 (thêm mới)

II. Danh sách hồ sơ bắt buộc

STT Tên hồ sơ Tham chiếu

Hồ sơ về đào tạo, năng lực, kinh nghiệm
1 7.2
và trình độ của nhân sự
2 Hồ sơ kết quả giám sát và đo lường 9.1
3 Hồ sơ kế hoạch đánh giá nội bộ 9.2
4 Hồ sơ kết quả đánh giá nội bộ 9.2
5 Hồ sơ kết quả xem xét của lãnh đạo 9.3
6 Hồ sơ kết quả của hành động khắc phục 10.1
A.12.4.1 và A.12.4.3
Hồ sơ nhật ký hoạt động của người dùng
7 (tương ứng A.8.15 trong
và sự cố bảo mật
ISO/IEC 27001:2022)