信息安全管理系统的建立是一个非常费力的过程。 然而,制定如何确保信息安全以及如何更好地保护信息的标准是该组织的关键成果。
信息安全管理系统 每个组织将遵循的方式几乎相同。
信息安全研究范围
首先要确定研究的范围和限度。 可以为整个组织或特定部门设置系统。 无论如何,研究的限度应该是完整的并且是正确定义的。 范围应根据最高管理层和组织的信息安全目标的决定来确定。
信息安全政策
该政策由高级管理层决定,并确定研究的目标,并确定要评估的风险和风险管理的标准。 高层管理人员应始终支持信息安全政策。
风险评估方法
应根据信息安全政策确定风险评估方法。 因此,应确定可接受的风险等级,并确定标准。 应通过创建风险图来保护的信息应根据影响程度和风险发生的可能性来确定。
识别风险
应通过使用风险评估方法确定威胁信息存在的风险。 在本研究中,将编制信息资产清单。 将包含在信息安全管理系统中的信息资产将根据其类型和严重程度列出。 绝密信息的出现会对组织造成很大的伤害,但是使相同的信息无法使用可能会减少损害。
评估风险
在此步骤中确定要确定的风险的措施。 通过适当的控制可以消除风险或降低到可接受的水平。 或者,消除风险因素并避免风险。
批准高级管理层
风险管理研究完成后,有必要获得高级管理层的批准才能应用。
如果无法完全消除风险,最高管理层可自行决定风险是否可接受。
ISO 27001信息安全管理系统组织可以向TURCERT认证组织的经验丰富的经理和员工申请咨询服务。