策划阶段,***应:
定义I***S的范围和方针;
定义风险评估的系统性方法;
识别风险;
应用***确定的系统性方法评估风险;
识别并评估可选的风险处理方式;
选择控制目标与控制方式;
当决定接受剩余风险时应获得管理者同意,并获得管理者***开始运行 信息安全管理体系。
实施阶段,***应该实施选择的控制,包括:
实施特定的管理程序;
实施所选择的控制;
运作管理;
实施能够促进安全事件检测和响应的程序和其他控制。
检查阶段,***应:
执行程序,检测错误和违背方针的行为 ;
定期评审I***S的有效性;
评审剩余风险和可接受风险的等级;
执行管理程序以确定规定的安全程序是否适当,是否符合标准,以及是 否按照预期的目的进行工作;
定期对I***S进行正式评审,以确保范 围保持充分性,以及I***S过程的持续改进得到识别并实施;
记录并 报告所有活动和事件。
苏州华菱企业管理咨询公司
普通会员第17年
|
公司主营:ISO体系认证