| 教育培训 为了强化组织的 ISO27001" target="_blank" class="relatedlink">信息安全意识,明确信息安全管理体系的基本要求,进行 信息安全管理体系标准和相关知识的培训是十分必要的,这也是组织搞好信息安全管理的关键因素之一。 拟定计划 信息安全管理体系的建立和维持是一项复杂的系统工程,包括培训、风险评估、文件编写、运行、审核、 纠正和预防措施等大量的工作。为确保体系顺利的建立,组织应进行统筹安排,即制定一个切实可行的工作计划,明确不同时间段的工作任务目标及责任分工,控制工作进度,突出工作重点,例如采用工程进度计划表。总体计划被批准后,就可以针对具体工作项目 制定详细计划,例如文件编写计划。在制定计划时,组织应考虑资源需求,例如人员的需求、培训经费、办公设施、聘请咨询公司的费用等,如果寻求体系的第三方认证,还要考虑认证费用,组织最高管理层应确保提供建立体系所必须的人力与财务资源。 确定信息安全方针与信息安全管理体系范围 信息安全方针是关于在一个组织内,指导如何对资产, 包括敏感信息进行管理、保护和分配的规则、指示。这里所谈到的信息安全方针是组织信息安全的总体方针,组织首先应制定信息安全方针,描述信息安全在组织内的重要性,表明管理层的承诺,提出组织管理信息安全的方法,以便为组织的信息安全提供管理方向 与支持。 现状调查与风险评估 组织信息安全管理现状调查与风险评估工作是建立信息安全管理体系 的基础与关键,在体系建立的整个过程中,风险评估的工作量占了很大比例,风险评估的工作质量直接影响安全控制的合理选择,因此,组织应责成专门的部门负责此项基础性工作,风险评估人员应理解标准的基本要求,掌握风险评估的方法,熟悉组织商务运作流 程与信息系统。风险评估需要不同部门的管理、信息技术、操作人员参与,必要时应获得信息安全专家的支持。风险评估的结果应被确认。 信息安全管理体系策划 在完成现状调查与风险评估工作之后,组织要根据已确立的 信息安全方针的总体要求与信息安全管理体系范围、风险评估的结果,明确组织信息安全结构与职责、选择控制目标与控制方式、编写控制概要、制定业务持续性计划。 |
| 思步组织:思步科技|思步网|火花学堂|思步文库|思步问答|思步英才|天下心 |
| © 2007 思步网 浙ICP备10212573号-4(首次备案号:浙ICP备07035264号)|邮箱:service#step365.com(将#换成@)|服务热线:0571-28827450 |
| 在线培训课程|求职招聘|思步文库|官方微信|手机APP|思步问答|微博平台|官方QQ群|交流论坛|软件工程透析|关于我们|申请友链| |
| 思步 step365 过程改进 CMMI中文 质量保证 质量管理 流程体系 需求跟踪矩阵 敏捷开发 Scrum 软件度量 项目评审 全员改进 流程管理 人力资源 6sigma 信息安全 ISO27001认证 IT服务管理 ISO20000认证 ISO9000认证 软件测试 SQA 配置管理 IPD 软件工程 PMP认证 PMP试题 PMBOK中文 精益研发 agile 顾问式管理培训 |
service@step365.com
0571-87357690
