ISO27001用于为建立、实施、运行、监视、评审、保持和改进信息安全管理体系(Information Security Management System,简称I***S)提供模型。采用I***S应当是一个***的一项战略性决策。一个***的I***S的设计和实施受业务需求和目标、安全需求、所采用的过程以及***的规模和结构的影响。上述因素及其支持过程会不断发生变化。期望信息安全管理体系可以根据***的需求而测量,例如简单的情形可采用简单的I***S解决方案。
ISO27001标准可以作为评估***满足顾客、***本身及******的信息安全要求的能力的依据,无论是***自我评估还是评估供方能力,都可以采用,也可以用作***第三方认证的依据。
在完成现状调查与风险评估工作之后,*** 要根据已确立的信息安全方针的总体要求与信息安全管理体系范围、风险评估的结果,明确***信息安全结构与职责、选择控制目标与控制方式、编写风险处理计划和控制概要、制定业务持 续性计划。
***信息安全结构与职责
***信息安全结构确定是实施信息安全管理体系的基础与*** 安全的保证,在职责划分和编写体系文件之前,必须***行职能分析和确定***结构。在确定***结构时,要坚持精简***的原则, 尽量避免部门职能的交叉,调整***的原有管理体系的***结构使其适应信息安全管理体系标准中的管理需求;结合***的类型、规 模及特点,设置管理体系运行的管理部门,使其负责管理体系的建立、实施、协调及监督管理,不断地发现管理体系运行中的问题, 以便及时调整、改进。
选择控制目标与控制方式
***应根据风险评估的结果,并考虑控制 费用与风险平衡的原则,选择适合***的控制目标与控制方式。
编写控制概要
控制概要中应对根据风险评估结果选择的控制目标与控制方式进行详细的说明。
制定业务持续性计划
为降低信息安全事件或自然灾害对***业务持续性的影响,***应在 风险评估的基础上编制业务持续性计划并保持计划的有效性。