如何进行ISO27000信息安全管理体系策划
在完成现状调查与风险评估工作之后,组织要根据已确立的信息安全方针的总体要求与信息安全管理体系范围、风险评估的结果,明确组织信息安全结构与职责、选择控制目标与控制方式、编写风险处理计划和控制概要、制定业务持续性计划.
组织信息安全结构与职责
组织信息安全结构确定是实施信息安全管理体系的基础与组织安全的保证,在职责划分和编写体系文件之前,必须先进行职能分析和确定组织结构.在确定组织结构时,要坚持精简高效的原则,尽量避免部门职能的交叉,调整组织的原有管理体系的组织结构使其适应信息安全管理体系标准中的管理需求;结合组织的类型、规模及特点,设置管理体系运行的管理部门,使其负责管理体系的建立、实施、协调及监督管理,不断地发现管理体系运行中的问题,以便及时调整、改进.
选择控制目标与控制方式
组织应根据风险评估的结果,并考虑控制费用与风险平衡的原则,选择适合组织的控制目标与控制方式.
编写控制概要
控制概要中应对根据风险评估结果选择的控制目标与控制方式进行详细的说明.
制定业务持续性计划
为降低信息安全事件或自然灾害对组织业务持续性的影响,组织应在风险评估的基础上编制业务持续性计划并保持计划的有效性.
更多ISO27001认证知识
ISO27001是什么
ISO27000系列标准介绍(1)
ISO27001认证体系的11个管理要项
ISO27000信息安全管理体系该如何有效运行
ISO27000策划与准备阶段涉及的工作
ISO27000中的PDCA过程
ISO27001信息安全管理体系的前世今生
如何进行ISO27000信息安全管理体系策划
ISO27001标准介绍
ISO27001信息安全管理体系有何用途
ISO27000标准的编号规则
纬创软件通过ISO27001信息安全管理体系认证
ISO27001适用于哪些类型的组织
ISO27000系列标准相关知识
ISO27001信息安全管理和内控体系的关系
更多资讯点击认证咨询网站或联系客服代表
