ISO 27001内容的结构和粒度

Question

我是27001国际标准化组织的新手，我的目标是为一个中等规模的组织制定一项ISMS政策。由于我没有购买标准，我去读顾问的文章和他们的免费基础视频课程。

现在，我想弄清楚如何构造ISMS的内容和文档，以及内容的粒度，这让我感到困惑。

我在网上找到了3个参考资料(下面的链接)，我认为这是相当不错的。然而，这些文档的粒度彼此有很大的不同。

1. https://www.gs.unsw.edu.au/policy/documents/itsecuritypolicy.pdf分离为多个文档。第二节，对附件A实施的管制的高级说明。然后，它引用关于控件如何强制执行的非常详细的文档。例如：https://www.gs.unsw.edu.au/policy/documents/ITSS_15.pdf ，我需要提供这样粒度的文档(ITSS_15.pdf)才能获得认证吗？
2. http://openaccess.uoc.edu/webapps/o2/bitstream/10609/59325/8/prodalTFM1216mem%C3%B2ria.pdf全部在一个文档中。附件1谈到我认为的附件A管制措施，而不象链接1第2节所提到的详细文件那样详细。
3. http://www.easypqq.co.uk/wp-content/uploads/2016/04/ISMS-Policy.pdf全部在一个文档中。我认为第6节谈到附件A的控制，很高的水平

正如您可以看到上面的3个文档，它们的粒度和内容的结构非常不同。如何构造ISMS的内容和文档，以及内容的粒度？

Answer 1

采购标准ISO 27001和ISO 27002。如果你想认证ISO 27001，你至少应该有标准，这样你就知道该怎么做了。国际标准化组织27002 5.1.1回答你关于标准委员会建议你考虑什么的问题。

关于第一个链接，除非标准要求，否则不需要提供这个级别的详细信息。关于第二个环节，在ISO 27001:2013中不需要ISMS政策。这是在ISO 27001:2005。第三个链接类似于他们如何执行ISO 27001:2013年的总结。

如何构造ISMS的内容和文档，以及内容的粒度-这样做的方式有利于您的组织，而不仅仅是认证标准。

Answer 2

自从发布这个问题以来，一个更新的资源(大约2019年)出现了:安全控制框架()，它包含了许多主要的安全标准，包括ISO 2700x。(见https://www.securecontrolsframework.com )。

对于ISO 27001/2，我隐藏了不相关的标准列，并过滤了任何不适用于ISO2700x的内容。对于ISO标准的每个部分，SCF都有关于您的安全实践的问题，以及如何回答以实现一致性(提示:它可能会使您更改某些过程)。