在申请ISO27000认证之前,企业需要提前开展内部安全教育培训工作中。一方面是加强涉及到企业信息安全的认识,确立信息安全管理体系的基本要求;另一方面,还可以帮助相关工作人员更好的了解什么是ISO27000认证,为下一步的认证工作充分准备。总之,企业有必要对员工进行信息安全管理体系标准及基本知识的培训,这也是企业做好信息安全管理的关键因素之一。
1.制定计划
网络信息安全智能管理系统建立和维护是个复杂的工程项目过程,涉及企业内部培训、风险评价、文件编写、操作、审计、纠正和防范措施等工作中。为确保全面的成功建立,企业应该开展统筹规划,即制定行之有效的工作安排,确立不同时间范围的工作职责总体目标和责任,控制工作进度,并突出工作重点,例如使用工程进度表。总体计划审批后,可以结合具体工作项目制定详尽的计划,如文件编写计划。在制定计划时,企业应考虑数据需求,如人才需求、培训费用、办公设施以及聘用咨询公司的成本。如果寻求全面的第三方认证,还应考虑认证费用。企业领导层应保证提供必要的人力和资金资源来构建该体系。
2.确定网络信息安全政策和信息安全管理体系的范围
网络信息安全策略是指导企业内资产(包括敏感信息)的管理、保护和分配的规则和指令。这里讨论的网络信息安全策略是企业信息安全体系认证的总体策略。企业应首先制定网络信息安全政策,说明网络信息安全在企业内部的重要性,展示管理的承诺,并提出管理网络信息安全的方法,为企业信息安全提供管理方向和支持。
3.现状调查和风险评价
对企业信息安全管理现状的调查和风险评价是建立信息安全管理体系的基础和关键。在整个系统建立过程中,风险评估工作量占很大比例,风险评价的质量直接影响安全控制的合理选择。因此,企业应该指定专门部门负责这项基础工作,风险评价人员应了解标准的基本要求,掌握风险评估方法,熟悉企业的业务操作流程和信息系统。风险评价需要来自不同部门的管理、信息技术和操作人员的参与,必要时应获得信息安全专家的支持。应确认风险评价的结果。
4.信息安全管理体系规划
在完成现状调查和风险评估工作后,企业应根据既定网络信息安全政策的总体要求,确立其网络信息安全结构和责任,选择控制目标和方法,编写控制摘要,并制定业务连续性计划,信息安全管理体系的范围和风险评估结果
在认证领域内,立标顾问拥有的审核团队,其中大多数审核员拥有多标准资质。这一庞大的多技能审核员队伍意味着立标能够同时在全国不同的地点处理多标准审核,加快合规保证过程,使您的项目无忧管理。
共有条评论 网友评论