ISO27001認證
ISO27000運行過程中,組織應注意哪些(xiē)方面
信息安全管理(lǐ)體系文(wén)件編制完成以後,組織應按照文(wén)件的控制要求進行審核與批準,并發布實施,至此,信息安全管理(lǐ)體系将進入運行階段。體系運行初期一般稱爲試運行期或磨合期,在此期間體系運行的目的是要在實踐中檢驗體系的充分性、适用(yòng)性和(hé)有效性。在體系運行初期,組織應加強運作(zuò)力度,通過實施其手冊、程序和(hé)各種作(zuò)業指導性文(wén)件等一系列體系文(wén)件,充分發揮體系本身的各項功能(néng),及時(shí)發現(xiàn)體系策劃本身存在的問題,找出問題根源,采取糾正措施,糾正各種不符合,并按照更改控制程序要求對(duì)體系予以更改,以達到(dào)進一步完善信息安全管理(lǐ)體系的目的。
有針對(duì)性地宣貫信息安全管理(lǐ)體系文(wén)件。
體系文(wén)件的培訓工(gōng)作(zuò)是體系運行的首要任務,培訓工(gōng)作(zuò)的質量直接影響體系運行的結果。組織應根據培訓工(gōng)作(zuò)計(jì)劃的安排并按照培訓程序的要求對(duì)全體員工(gōng)實施培訓。通過培訓使全體員工(gōng)認識到(dào)新建立或完善的信息安全管理(lǐ)體系是對(duì)過去信息安全管理(lǐ)體系的變革,是爲了(le)向國際先進的信息安全管理(lǐ)标準接軌,要适應這(zhè)種變革和(hé)新管理(lǐ)體系的運行,就必須認真學習、貫徹信息安全管理(lǐ)體系文(wén)件。
實踐是檢驗真理(lǐ)的唯一标準。
體系文(wén)件通過試運行必然會(huì)出現(xiàn)一些(xiē)問題,全體員工(gōng)應将實踐中出現(xiàn)的問題和(hé)改進意見如實反饋給有關部門(mén),以便采取糾正措施。
将體系試運行中暴露出的問題,如體系設計(jì)不周、項目不全等進行協調、改進。
信息安全管理(lǐ)體系的運行涉及組織體系範圍的各個部門(mén),在運行過程中,各項活動往往不可避免的發生偏離标準的現(xiàn)象,因此,組織應按照嚴密、協調、高(gāo)效、精簡、統一的原則,建立信息反饋與信息安全協調機制對(duì)異常信息反饋和(hé)處理(lǐ),對(duì)出現(xiàn)的問題加以改進,并保證體系的持續正常運行。
加強有關體系運行信息的管理(lǐ),不僅是信息安全管理(lǐ)體系試運行本身的需要,也(yě)是保證試運行成功的關鍵。
所有與信息安全管理(lǐ)體系活動有關的人員都應按體系文(wén)件要求,做好(hǎo)信息安全的信息收集、分析、傳遞、反饋、處理(lǐ)和(hé)歸檔等工(gōng)作(zuò)。
信息安全體系文(wén)件屬于組織的信息資産,包含有關組織的全部安全管理(lǐ)等敏感信息,組織應按照信息分類的原則對(duì)其進行分類、進行密級标注并實行嚴格的安全控制,未經授權不得随意複制或借閱。