客服热线:
手机版
二维码
ISO27000建立和运行步骤
1、 制定信息安全方针;
2、 明确信息安全管理体系的范围,根据组织的特性、地理位置、资产和技术来明确界限;
3、 实施适宜的风险评估,识别资产所受到的威胁、薄弱环节和对组织的影响,并明确风险程度;
4、 根据组织的信息安全方针和必须的保证程度来明确应实施管理的风险;
5、 从BS7799-2的第四部分“控制细则中选择适宜的控制目标和控制方式(从36个目标,127种控
制方式中选择);控制目标和控制方式的选择能够参考BS7799-1:1999《 信息安全管理体系实施细则》
标准,假如标准中没有的控制目标和控制方式,组织能够也应选择一些其它适宜的控制方式。
6、 制定可用性声明,将控制目标和控制方式的选择和选择理由文件化,并标明未选择BS7799-2 :
1999第四部分中的任何内容以及理由;
7、 有效地实施选定的控制目标和控制方式;
8、 进行内部审核和管理评审,保证体系的有效实施和持续适宜。
