【咨詢內(nèi)容介紹】

五、信息安全管理體系建立和運行步驟
   BS7799-2：1999標準要求組織建立并保持一個文件化的信息安全管理體系，其中應闡述需要保護的資產(chǎn)、組織風險管理的渠道、控制目標及控制方式和需要的保證程度。
   信息安全管理體系建立和運行步驟：
1、 制定信息安全方針；
2、 明確信息安全管理體系的范圍，根據(jù)組織的特性、地理位置、資產(chǎn)和技術(shù)來確定界限；
3、 實施適宜的風險評估，識別資產(chǎn)所受到的威脅、薄弱環(huán)節(jié)和對組織的影響，并確定風險程度；
4、 根據(jù)組織的信息安全方針和需要的保證程度來確定應實施管理的風險；
5、 從BS7799-2的第四部分"控制細則"中選擇適宜的控制目標和控制方式（從36個目標，127種控制方式中選擇）；控制目標和控制方式的選擇可以參考BS7799-1：1999《 信息安全管理體系實施細則》標準，如果標準中沒有的控制目標和控制方式，組織可以也應選擇一些其它適宜的控制方式。
6、 制定可用性聲明，將控制目標和控制方式的選擇和選擇理由文件化，并注明未選擇BS7799-2 ：1999第四部分中的任何內(nèi)容及其理由；
7、 有效地實施選定的控制目標和控制方式；
8、 進行內(nèi)部審核和管理評審，保證體系的有效實施和持續(xù)適宜。

更新時間：2016/10/10 17:10:40