| 安全组织的目的在于通过建立管理框架,以启动和控制组织范围内的信息安全的实施。管理者应通过清晰的方向、说明性承诺、明确的信息安全职责分配和确认,来积极地支持组织内的安全,且应批准整个组织内的信息安全方针、分配安全角色并协调和评审安全的实施。
|
|
|
| 组织可建立信息安全领导小组,负责本组织机构的信息系统安全工作,并至少履行安全管理的领导职能和保密监督的管理职能。
|
|
|
| 组织可建立信息安全职能部门,在信息安全领导小组监管下,负责本组织机构信息系统安全的具体工作,至少履行基本的安全管理职能或集中的安全管理职能。
|
|
|
| 如果需要,要在组织范围内建立信息安全专家建议的资料源,并在整个组织内均可获得该资料。要发展与外部安全专家或组织(包括相关权威人士)的联系,以便跟上行业发展趋势、跟踪标准和评估方法,并且当处理信息安全事故时,提供合适的联络地点。应鼓励构建信息安全的多学科交叉途径。
|
|
|
