点击图片查看原图
BS7799信息管理体系建立和运行步骤
BS7799-2:1999标准要求组织建立并保持一个文件化的信息管理体系,其中应阐述需要保护的资产、组织风险管理的渠道、控制目标及控制方式和需要的保证程度。
信息管理体系建立和运行步骤:
1、 制定信息方针;
2、 明确信息管理体系的范围,根据组织的特性、地理位置、资产和技术来确定界限;
3、 实施适宜的风险评估,识别资产所受到的威胁、薄弱环节和对组织的影响,并确定风险程度;
4、 根据组织的信息方针和需要的保证程度来确定应实施管理的风险;
5、 从BS7799-2的第四部分“控制细则”中选择适宜的控制目标和控制方式(从36个目标,127种控制方式中选择);控制目标和控制方式的选择可以参考BS7799-1:1999《 信息管理体系实施细则》标准,如果标准中没有的控制目标和控制方式,组织可以也应选择一些其它适宜的控制方式。
6、 制定可用声明,将控制目标和控制方式的选择和选择理由文件化,并注明未选择BS7799-2 :1999第四部分中的内容及其理由;
7、 实施选定的控制目标和控制方式;
8、 进行内审核和管理评审,保证体系的实施和持续适宜。
六、我国质量认证中BS7799-2:1999推行工作简介
我国质量认证是目前具有BS7799-2:1999建立与认证经历,早在1999年末,CQC厦门评审中就组织审核员和人员翻译了BS7799系列标准,并开展了
早的培训,2000初动员厦门人保推行BS7799-2:1999,并于2000年8月-10月对该企业实施了认证审核。
2001年,又指派了一名经验丰富的工程师/审核员对BS7799-2信息管理体系(ISMS)的建立进行了深入的研究,全程参与广东某公司的信息管理体系的建
立和认证工作,为开展组织的信息体系积累丰富的经验。
BS7799信息管理体系建立和运行步骤