在申請ISO27000認證之前,企業需要提前開展內部安全教育培訓工作中。一方面是加強涉及到企業信息安全的認識,確立信息安全管理體系的基本要求;另一方面,還可以幫助相關工作人員更好的了解什么是ISO27000認證,為下一步的認證工作充分準備。總之,企業有必要對員工進行信息安全管理體系標準及基本知識的培訓,這也是企業做好信息安全管理的關鍵因素之一。
1.制定計劃
網絡信息安全智能管理系統建立和維護是個復雜的工程項目過程,涉及企業內部培訓、風險評價、文件編寫、操作、審計、糾正和防范措施等工作中。為確保全面的成功建立,企業應該開展統籌規劃,即制定行之有效的工作安排,確立不同時間范圍的工作職責總體目標和責任,控制工作進度,并突出工作重點,例如使用工程進度表。總體計劃審批后,可以結合具體工作項目制定詳盡的計劃,如文件編寫計劃。在制定計劃時,企業應考慮數據需求,如人才需求、培訓費用、辦公設施以及聘用咨詢公司的成本。如果尋求全面的第三方認證,還應考慮認證費用。企業領導層應保證提供必要的人力和資金資源來構建該體系。
2.確定網絡信息安全政策和信息安全管理體系的范圍
網絡信息安全策略是指導企業內資產(包括敏感信息)的管理、保護和分配的規則和指令。這里討論的網絡信息安全策略是企業信息安全體系認證的總體策略。企業應首先制定網絡信息安全政策,說明網絡信息安全在企業內部的重要性,展示管理的承諾,并提出管理網絡信息安全的方法,為企業信息安全提供管理方向和支持。
3.現狀調查和風險評價
對企業信息安全管理現狀的調查和風險評價是建立信息安全管理體系的基礎和關鍵。在整個系統建立過程中,風險評估工作量占很大比例,風險評價的質量直接影響安全控制的合理選擇。因此,企業應該指定專門部門負責這項基礎工作,風險評價人員應了解標準的基本要求,掌握風險評估方法,熟悉企業的業務操作流程和信息系統。風險評價需要來自不同部門的管理、信息技術和操作人員的參與,必要時應獲得信息安全專家的支持。應確認風險評價的結果。
4.信息安全管理體系規劃
在完成現狀調查和風險評估工作后,企業應根據既定網絡信息安全政策的總體要求,確立其網絡信息安全結構和責任,選擇控制目標和方法,編寫控制摘要,并制定業務連續性計劃,信息安全管理體系的范圍和風險評估結果
在認證領域內,立標顧問擁有的審核團隊,其中大多數審核員擁有多標準資質。這一龐大的多技能審核員隊伍意味著立標能夠同時在全國不同的地點處理多標準審核,加快合規保證過程,使您的項目無憂管理。
共有條評論 網友評論