一、ISO/IEC 27001:2022 7.5 标准原文
ISO/IEC 27001:2022 7.5 形成文件的信息
条款要求:组织的信息安全管理体系应包括标准要求的形成文件信息以及组织为确保体系有效所确定的文件信息;这些文件在创建、更新和控制时,应确保适当的标识、格式、评审批准、可获得性、保护、版本控制、保留和处置。
7.5的目标不是让组织“多写文件”,而是建立一套既受控、又真正服务运行的文件与记录体系。
条款要求:组织的信息安全管理体系应包括标准要求的形成文件信息以及组织为确保体系有效所确定的文件信息;这些文件在创建、更新和控制时,应确保适当的标识、格式、评审批准、可获得性、保护、版本控制、保留和处置。
7.5的目标不是让组织“多写文件”,而是建立一套既受控、又真正服务运行的文件与记录体系。
提示:完整原文请参阅 ISO/IEC 27001:2022 正式文本
引用:文件控制做得差,结果通常不是“少几份文档”,而是制度与现场脱节、记录找不到、版本互相打架。
二、条款解读说明
2.1 为什么7.5是体系可信度的基础
信息安全管理体系离不开文件和记录。没有文件,规则无法稳定传达;没有记录,执行无法证明;没有版本控制,所有“已实施”的说法都缺乏可信度。尤其在ISO 27001中,很多核心活动如范围界定、风险评估、风险处置、目标管理、审核、管理评审和改进,都必须依赖成文信息构成完整证据链。因此,7.5并不是行政性附属条款,而是体系可审核、可追溯、可持续运行的基础保障。
但7.5同样容易走向另一个极端:文件越来越多、越来越细,却和实际运行脱节。结果是现场人员不看文件,文件管理员为更新而更新,审核时只能证明“有文档”,却证明不了“文档有效”。所以7.5真正追求的是“适度而有效”的文件控制,即只保留对体系运行有必要的文件,同时确保这些文件能被正确创建、更新、使用和保护。
2.2 条款关键要求拆解
| 关键要求 | 标准含义 | 常见问题 | 建议做法 |
|---|---|---|---|
| 文件范围 | 既包括标准要求,也包括组织认为必要的文件 | 只保留最低要求,缺乏运行文件 | 按流程和风险识别必要文件 |
| 创建与更新 | 要有标识、格式、评审和批准 | 版本无编号、无审批人 | 统一模板和审批规则 |
| 可获得性与保护 | 需要时可获取,同时防止丢失和未经授权修改 | 员工找不到最新文件 | 统一发布平台和权限控制 |
| 保留和处置 | 记录需按期限保留并规范销毁或归档 | 历史记录散落各处 | 明确保留期限和归档规则 |
2.3 文件“够用”比文件“很多”更重要
不同规模组织所需的形成文件信息并不一样。小型组织未必需要大量程序文件,但必须有清晰的方法和记录;大型组织则需要更规范的文件层级和版本控制。判断文件体系是否合适,不在于数量,而在于它是否支撑了范围、风险、控制、职责和运行的真实需要。文件过少,现场无依据;文件过多,执行人员无所适从。7.5要求组织在两者之间找到平衡。
注意:7.5的成熟度往往体现在两点:一是现场人员是否能快速找到并使用最新要求,二是关键记录是否能完整回溯重要决策和执行过程。
三、实施要点
3.1 先梳理文件体系结构
- 明确方针、制度、程序、作业文件、模板、记录、台账等层级关系。
- 将标准强制要求文件与组织自定义运行文件一起纳入清单管理。
- 避免“同一要求在多个文档里重复且不一致”。
3.2 统一创建与更新规则
- 统一文件编号、版本、审批、发布日期和适用范围标识。
- 重大修订要留痕说明修订原因和主要变化。
- 记录模板也应有版本和责任说明,避免现场随意自制。
3.3 做好访问控制和发布机制
- 确保相关岗位能快速访问当前有效版本。
- 敏感文件如风险评估、SoA、事件记录和审计证据应设访问权限。
- 对作废文件及时撤回或显著标识,防止误用。
3.4 明确保留期限与归档规则
- 结合法律、合同、监管和业务需要设定不同记录的保留期限。
- 对事件、审计、风险和管理评审等关键记录优先保障完整性。
- 对历史版本和作废文件建立归档与销毁机制。
3.5 定期复核文件有效性
- 通过内部审核、过程评估和现场访谈检查文件是否仍贴合实际。
- 对“文件在写、现场不按文件做”的情况优先整改。
- 避免为了保持“文档齐全”而保留无用文件。
成功:好的7.5不是让组织拥有更多文档,而是让关键要求、记录和决策都处于受控、可追溯、易使用的状态。
四、常用工具与实施方法
| 工具/方法 | 应用目的 | 实施建议 | 输出成果 |
|---|---|---|---|
| 文件主清单 | 统一掌握文件全貌 | 记录类型、版本、责任人和状态 | 主清单台账 |
| 标准模板库 | 规范创建和更新 | 统一编号、审批和修订信息格式 | 模板包 |
| 受控发布平台 | 确保最新版本可获得 | 结合权限管理和版本留痕 | 文件门户或系统 |
| 保留期限矩阵 | 规范归档与处置 | 按记录类型设定期限和方式 | 保留规则表 |
| 文件有效性抽查 | 验证文件与现场一致性 | 定期对关键流程进行文件与实践比对 | 抽查报告 |
五、典型案例
案例一:版本混乱导致审批错误
- 背景:企业多部门本地保存制度文件。
- 问题:部分人员仍按旧版审批要求执行,导致控制失效。
- 7.5动作:建立统一受控发布平台,强制使用最新版本,并撤回历史副本。
- 结果:版本冲突显著减少。
- 启示:文件控制失效会直接影响运行控制质量。
案例二:记录存在,但追溯困难
- 背景:企业风险和审计记录分散在邮件、表格和个人文件夹中。
- 问题:审核时很难构建完整证据链。
- 7.5动作:统一台账和归档规则,明确关键记录保管责任。
- 结果:证据准备效率大幅提升。
- 启示:记录的价值在于可追溯,而不是“曾经存在过”。
案例三:文件过多导致现场不用
- 背景:组织多年积累大量程序文件。
- 问题:现场人员难以判断哪些是当前有效和真正需要遵守的要求。
- 7.5动作:对文件进行精简整合,保留关键制度和高频模板。
- 结果:文件可读性和可执行性提升。
- 启示:文件控制的目标是服务运行,而不是制造文牍。
六、成文信息管理要求
7.5本身就是成文信息管理条款,因此其输出不仅包括受控文件本身,还包括创建、更新、审批、分发、访问、保留和处置过程的控制证据。
| 建议文件或记录 | 关键内容 | 责任部门 | 审核价值 |
|---|---|---|---|
| 文件主清单 | 文件名称、编号、版本、状态、责任人 | 体系办/文控 | 证明文件范围受控 |
| 审批与修订记录 | 审批人、修订原因、修订日期 | 文控/责任部门 | 证明文件创建更新受控 |
| 分发与访问控制记录 | 发布范围、访问权限、撤回作废信息 | 文控/IT | 证明文件使用受控 |
| 归档和处置记录 | 保留期限、归档位置、销毁方式 | 文控/法务/IT | 证明生命周期管理完整 |
七、常见误区及踩坑提醒
| 误区 | 问题表现 | 正确做法 |
|---|---|---|
| 文件越多越好 | 现场不看、更新困难 | 保留真正必要且能执行的文件 |
| 模板不受控 | 现场使用版本不一致 | 将模板纳入受控范围 |
| 记录散落个人目录 | 审核和追溯困难 | 统一归档和访问规则 |
| 作废文件未撤回 | 旧版要求被继续使用 | 建立作废标识和回收机制 |
| 只检查文件存在,不检查有效性 | 文档与现场脱节 | 定期做文件和现场一致性检查 |
警告:避免把7.5做成“文控部门自转”。最常见的问题是文件受控了,但内容不再反映实际运行。
小结:第7.5条要求组织建立一套适度、清晰、受控的形成文件信息体系。只有规则和记录真正可用、可追溯,ISMS的运行和审核基础才会稳固。