|
|
| (1)定义信息安全策略。信息安全政策是一个机构信息安全的最高方针,必须形成书面文件,散发到组织内所有员工手上,并要对所有相关员工进行培训。
|
|
|
| (2)定义信息安全管理体系的范围。即在机构内选定在多大范围内构建信息安全管理体系。在定义信息安全管理体系阶段,应将机构划分成不同的信息安全控制域,以易于对不同需求的领域进行适当的信息安全管理。在定义信息安全管理体系范围时,为了使定义更加完整,应考虑以下几个方面的实际情况:现有部门、处所、资产状况、所采用的技术等。
|
|
|
| (3)进行信息安全风险评估。信息安全风险评估的复杂程度取决于风险的复杂程度和受保护资产的敏感程度,所采用的评估措施应该与组织信息资产风险的保护需求相一致。具体有三种评估方法可以选择:基本风险评估、详细风险评估、基本风险评估和详细风险评估相结合。
|
|
|
| (4)确定管理目标和选择管理措施。管制目标的确定和管制措施的选择原则是费用不超过风险所造成的损失。但应注意有些风险的后果并不能用金钱来衡量。由于信息安全是一个动态的系统工程,组织应实时对选择的管制目标和管制措施加以校验和调整。
|
|
|
| (5)准备信息安全适用性申明。信息安全适用性申明记录了组织内相关的风险管制目标和针对每种风险所采取的各种控制措施。信息安全适用性申明的准备,一方面是为了向组织内的员工申明对信息安全风险的态度,在更大程度上则是为了向外界表明机构的态度和作为,以表明机构已经全面、系统地审视了信息安全系统,并将所有有必要管制的风险控制在能够被接受的范围内。
|
|
|
京公网安备 11010502032051号 | 营业执照