五、信息安全管理體系建立和運行步驟
BS7799-2:1999標準要求組織建立并保持一個文件化的信息安全管理體系,其中應闡述需要保護的資產、組織風險管理的渠道、控制目標及控制方式和需要的保證程度。
信息安全管理體系建立和運行步驟:
1、 制定信息安全方針;
2、 明確信息安全管理體系的范圍,根據組織的特性、地理位置、資產和技術來確定界限;
3、 實施適宜的風險評估,識別資產所受到的威脅、薄弱環節和對組織的影響,并確定風險程度;
4、 根據組織的信息安全方針和需要的保證程度來確定應實施管理的風險;
5、 從BS7799-2的第四部分“控制細則”中選擇適宜的控制目標和控制方式(從36個目標,127種控制方式中選擇);控制目標和控制方式的選擇可以參考BS7799-1:1999《 信息安全管理體系實施細則》標準,如果標準中沒有的控制目標和控制方式,組織可以也應選擇一些其它適宜的控制方式。
6、 制定可用性聲明,將控制目標和控制方式的選擇和選擇理由文件化,并注明未選擇BS7799-2 :1999第四部分中的任何內容及其理由;
7、 有效地實施選定的控制目標和控制方式;
8、 進行內部審核和管理評審,保證體系的有效實施和持續適宜 |
|
手機站
您當前位置是:商業機會 >> 商務服務 >> 認證服務 >> 供應上海ISO27001認證
聯系信息
