分别适用于不同的子公司或各分支机构。信息安全策略应该简单明了、通俗易懂,并形成书面文件,发给组织内的所有成员。同时要对所有相关员工进行信息安全策略的培训,对信息安全负有特殊责任的人员要进行特殊的培训,以使信息安全方针真正植根于组织内所有员工的脑海并落实到实际工作中。
(2)定义ISMS的范围
ISMS的范围确定需要重点进行信息安全管理的领域,组织需要根据自己的实际情况,在整个组织范围内、或者在个别部门或领域构架ISMS。在本阶段,应将组织划分成不同的信息安全控制领域,以易于组织对有不同需求的领域进行适当的信息安全管理。
(3)进行信息安全风险评估
信息安全风险评估的复杂程度将取决于风
数据载入中...
页码:[1] [2] [3] [4] [5] [6] [7] [8] 第8页、共8页 |
