ISO27001管理体系的准备工作

ISO27001管理体系的准备工作

1.1管理承诺

组织最高管理层应提供其承诺建立、实施、运行、监控、评审、维护和改进信息安全管理体系的证据，

这是成功实施信息安全管理体系的重要保护，管理承诺包括：

n  确定信息安全管理体系的范围；

n  建立信息安全管理方针；

n  确保建立信息安全管理目标和责任；

n  向组织传达信息安全管理目标的重要性，在法律条件下组织的责任及持续改进的需要；

n  实现既定目标所需的资源、设施和预算；

n  提供足够的资源以开发、实施、运行和维护信息安全管理管理体系；

n  管理角色和职责的框架，包括高层负责者；

n  确定可接受风险的水平，管理服务管理组织和服务的风险；

n  服务管理过程和活动协调方式之间的接口；

n  进行信息安全管理体系的评审。

1.2组织与人员建设

为在组织中顺利建立信息安全管理体系，需要建立有效信息安全机构，对组织中的各类人员分配角色、

明确权限、落实责任并予以沟通。

1.2.1成立信息安全委员会

信息安全委员会由组织的最高管理层与信息安全管理有关的部门负责人、管理人员、技术人员组成，定

期召开会议，就以下重要信息安全管理议题进行讨论并做出决策，为组织信息安全管理提供导向与支持。

n  评审和审批信息安全管理方针；

n  分配信息安全管理职责；

n  对与信息安全管理有关的重大事项，如组织机构调整、关键人员变动、信息安全设施购置等；

n  评审与监督信息安全事故；

n  审批与信息安全管理有关的其他重要事项。

1.2.2任命信息安全管理者代表（或主管经理）

组织最高管理者在管理层中指定一名信息安全管理者代表，分管组织的信息安全管理事宜，此人通常是

企业负责运营的人并且能把项目放在优先位置；他必须熟悉实施流程并能把握实施的有效。在一些大型企业

里，首席信息安全官应该担当这个职位。具体有以下责任：

n  确保建立、实施和维护信息安全管理体系；

n  负责组织的信息安全方针与安全策略的贯彻与落实；

n  向最高管理者提交信息安全管理体系绩效报告，以供评审，并为改进信息安全管理体系提供证据；

n  就信息安全管理的有关问题与外部各方面进行联络。

1.2.3组建信息安全管理小组

在信息安全和技术委员会的批准下，由信息安全管理经理组建信息安全管理小组，并对其进行管理。

小组要涵盖数名专职人员以及体系范围内各部门与信息安全有关的骨干人员，小组成员要懂信息安全技

术知识，有一定的信息安全管理技能，并且有较强的分析能力及文字能力。

1.2.4保证有关人员的作用、职责和权限得到有效沟通

用适当的方式，如通过培训、制定文件等方式，让每位员工明白自己的作用、职责与权限，以及其他部

分的关系，以保证全体员工各司其职，相互配合，有效的开展活动，为信息安全管理体系的建立作出贡献。

1.2.5组织机构的设立原则

如果符合公司整体发展战略，可以考虑设立专职的信息安全部门，设立该部门时应考虑：

n  合适的控制范围；

n  合适的管理层次；

n  一个上级的原则；

n  责权利一致的原则；

n  既无重叠，又无空白的原则；

n  执行部门与监督部门分离的原则；

n  信息安全部门有一定的独立性。

1.2.6信息安全管理体系组织结构设立及职责划分的注意事项

n  应将组织内的部门设置及各部门的信息安全职责、权限和相互关系以文件的形式加以规定。

n  日常的信息安全监督检查工作应有专门的部门负责。

n  对于大型企业来说，可以设置专门的安全部门，设立安全执行官，其直接向组织最高管理者负责。美国911事件后，在一些大型企业，这种安全机构的设置方式逐渐流行，它强调对各种风险的综合管理和对威胁的快速反应。

n  对于小型企业来说，可以把信息安全管理工作划归到信息部、人事行政部或其他部门。

1.3 编制工作计划

建立信息安全管理体系是一个复杂的系统工程，它的建立需要半年甚至更长的时间，包括培训、风险评

估、文件编写等大量的工作。

为确保体系的顺利建立，在全面详细诊断的基础上，我们帮助公司进行统筹安排，制定一个切实可行的

工作计划，明确不同时段的工作任务与目标及责任分工，控制工作进度，突出工作重点。总体计划被批准后，

就可以针对具体工作项目制定详细工作计划，如文件编写计划等细步计划。