建立四川ISO27001信息安全管理體系的六個步驟

具體步驟如下:
(1)ISO27001信息安全管理體系信息:安全策略
組織應制定信息安全策略以對組織的信息安全提供管理方向與支持?組織不僅要有一個總體的安全策略,而且,在總體策略的框架內,根據風險評估的結果,制定更加具體的安全方針,明確規定具體的控制規則,如清理桌面和清楚屏幕策略訪問控制策略等?
(2)ISO27001信息安全管理體系:范圍
組織要根據組織的特性?地理位置?資產和技術對信息安全管理體系范圍進行界定?組織信息安全管理體系范圍包括以下項目:
a?需保護的信息系統?資產?技術?
b?實物場所(地理位置?部門)?
(3)ISO27001信息安全管理體系:風險評估
組織需要選擇一個適合其安全要求的風險評估和管理方案,然后進行合乎規范的評估,識別目前面臨的風險及風險等級;風險評估的對象是組織的信息資產,評估考慮的因素包括資產所受的威脅?薄弱點及威脅發生后對組織的影響?無論采用何種風險評估工具方法,其終評估結果應是一致的?

(4)ISO27001信息安全管理體系:風險管理
組織應根據信息安全策略和所要求的安全程度,識別所要管理的風險內容?控制風險包括識別所需的安全措施,通過降低?避免?轉移將風險降至可接受的水平?風險隨著過程的更改?組織的變化?技術的發展及新出現的潛在威脅而變化?
(5)信息安全管理體系:控制目標與控制方式的選擇
風險評估之后,組織應從已有信息安全技術中選擇適當的控制方法,包括額外的控制,降低已識別的風險?
(6)ISO27001信息安全管理體系:適用性聲明
信息安全適用性聲明記錄了組織內相關的風險管制目標和針對每種風險所采取的控制措施?它的準備,一方面是為了向組織內的員工聲明對信息安全面對風險的態度;另一方面也是為了向外界表明組織的態度和作為?