实施建议
    (1)要通过调查,掌握应受控的文件种类及其来源。
    (2)ISO20000要建立文件控制系统,确定各类文件的控制过程,什么是iso27001建立和保持文件控制的程序文件。
    (3)对于组织内部生成的文件,程序中要考虑:标识、编制、审查、批准、发放、使用、更改和废止,以及评审和其后之更新和再批准诺阶段。其中,更改阶段包括了更改的标识、编制、审查和批准,及其后之发放和使用。
    (4)对于外来文件,程序中要考虑;收集、标识、审查、批准、发放、使用、更改(包括更换和补充)和废止,以及评审和其后之更新和再批难诸阶段。要建立一个渠道,确保能适时收集到适用文件的最新版本或修改信息。上述的审批,不是对文件内容的审批,而是对本组织识别、采用该文件的适宜性的审批。
    (5)对不同媒体和不同种类的文件,应采用不同的方法和建立不同程序文件进行控制。为便1:检索和识别有效版本,对有些文件采用建立和保持文件总目录的方法进行控制是合适的。总目录要表明文件的
修订状态和分发、持有的场所。
    (6)文件的批准要由授权人实施对于小型组织,文件的编制、审查和批准往往是由—个人完成的,什么是iso27001按本标准的要求,是可以接受的,并只要提供批准签署的证据。
    (7)对使用中文件的评审可定期实施,如每三年一次,也可根据需要安排实施。
    (8)文件控制的关键过程是更改控制过程。组织应对不同媒体的各类文件分别制定一个持续稳定的更改控制过程。什么是iso27001要考虑:
    a.及时获得信息,cmmi认证识别更改的需要;
    b.评审更改导致的影响,包括需作的相关更改;
    G与受影响的职能部门协调;
    d.选用合适的方法对承载媒体进行更改,更改标识能确保可追溯至更改的依据;
    e.确定实施经更改的文件的起始时间,确保仅使用经批准的最新文件;
    f.保存进行更改的原因的记录。应采取有效的方法,防止在更改后误用已作废的文件,宁波市ISO27001认证机构但不用集中回收登记的办法。

    (9)文件控制的程序文件及其实施状态可作为证实的证据。