服務項目 |
ISO27001認證輔導,信息安全體系認證申請,ISO27000認證咨詢,ISO認證咨詢輔導 |
面向地區 |
工業品 |
機械設備 |
信息安全管理體系項目需要一個有適當組織架構和資源的項目團隊。這是一個常識,它也反應了 ISO 27001條款5的要求,以及附錄 A.6.1.1到 A.6.1.3的控制要求。
展示管理承諾
ISO 27001條款5要求管理層展示其承諾的―建立,實施,運行,監控,審查,維護和改進信息安全管理體系‖,并且給出如下需提供證據的步驟:
1.建立信息安全政策,它應該得到正式的討論,并由董事會或高層管理團隊進行簽署;
2.確保信息安全管理體系目標和計劃的建立,它好由信息安全管理體系項目團隊來完成;
3.建立信息安全的角色和職責,它應從建立 ISMS 項目團隊入手;
4.傳達信息安全的重要性給組織,為信息安全管理體系和它的持續改進提供支持;
5.為信息安全管理體系的開發和部署的各個階段和方面提供足夠的資源;
6.決定風險的接受和控制標準,這些標準應在正式的管理會議上完成;
7.確保信息安全管理體系審計的進行;
8.對信息安全管理體系進行管理評審。
項目小組/ 指導
高管理者應建立一個由業務牽頭的項目小組或指導,負責設計和實施信息安全管理體系。這個團隊應該是由一名對業務負責的高層經理來領導,好 的人選是組織的 CEO。
經驗告訴我們,這個團隊不應該由 IT經理來,因為 IT經理沒有足夠的跨業務和商業管理經驗及威信,將業務作為一個整體來建立和 實施管理制度。
在總經理下的項目小組,應包括關鍵的職能部門經理以及 IT 和信息安全的技術。
如果內部沒有足夠的資源,應該使用外部的技術專長;當使用外部承包商時,要應用和第三方合約相關的各類控制,如 A.6.1.5的保密協議和 A.6.2的外部各方。
