建立完整的信息安全管理体系通常要经过一下哪几个步骤

Question

叮妮? · Answer

建立完整的信息安全管理体系通常要经过以下哪几个步骤（答案：ABCD） A.计划（Plan） B实施 (Do) C检查 (Check) D改进 (Action)

江南之龙 · Answer

一、项目前期准备阶段
     目的：充分体现领导作用和全员参与的原则，确保各个层面意识到信息安全管理体系的必要性和管理层的决心
     二、现场调研诊断
     目的：了解组织的现状，寻找与ISO27001标准的差距
     三、人员培训
     目的：提升各级领导和全员的信息安全意识，使内审员具备相应能力
     四、整合体系iso三体系认证架iso认证
     目的：策划覆盖各个业务流程的系统的iso三体系认证化程序。
     五、确定信息安全方针和目标
     目的：明确信息安全方针和目标，为信息安全管理体系提供导向。
     六、建立管理组织机构
     目的：建立完善的内控组织架构，为整合体系提供支持。
     七、信息安全风险评估
     目的：实施风险评估，识别不可接受风险，明确管理目标；
     八、信息安全管理体系iso三体系认证编写
     目的：建立iso三体系认证化的信息安全管理体系。
     九、信息安全管理体系记录的iso认证
    十、信息安全管理体系iso三体系认证审核
     目的：确保ISMS信息安全管理体系iso三体系认证的系统性、有效性和效率。
     十一、信息安全体系iso三体系认证发布实施
     目的：发布ISMS信息安全管理体系iso三体系认证，落实管理要求。
     十二、组织全员进行iso三体系认证学习
     目的：确保信息安全管理体系iso三体系认证要求在各个层级、各个岗位均得到有效的沟通和理解。
     十三、业务连续性管理
     目的：确保在任何情况下，核心业务均可保持提供连续提供服务的能力。
     十四、审核培训及内审
     目的：实施内部审核，发现信息安全管理体系运行中的不符合，寻找改进的机会。
     十五、管理体系有效性测量
     目的：根据量化指标，测量信息安全管理体系的有效性。
     十六、管理评审
     目的：将体系运行过程中的成效和问题向管理层汇报，由较高管理者提出改进的要求和资源的支持。
     十七、认证咨询机构正式审核
     目的：由第三方权威机构审核信息安全管理体系的有效性。
    十八、参考资料
    iso27001认证咨询流程：stxrz/iso27001/1945

Mustang · Answer

可以归纳为pdca，即戴明模型
p是指plan，策划，主要是
1.确定组织的职业健康安全方针，方针必须包含较高管理者的两个承诺，即遵守现行职业健康安全法规的承诺和持续改进体系业绩的承诺
2.识别存在的危险源并确定不可容许风险
3.识别组织适用的法律、法规、规章和其他要求
4.根据危险源识别的结果，对不可容许风险制定目标和职业健康安全管理方案，职业健康安全管理方案形式可以自定，但必须包含几个要素：关注部位、不可容许风险、责任部门、资金投入、目标和控制指标、完成期限

d是指do，实施，主要是
1.先确定各岗位人员在职业健康安全管理体系中的职责，使之清楚本岗位的安全生产责任制
2.根据不不同次人员的情况、业务技能等方面的需要进行必须的职业健康安全培训，使之具有相应的意识和能力
3.对有关职业健康安全事宜与组织内部各部门、员工之间及相关方之间进行协商和沟通，收集意见建议，以便于持续改进
4.规定组织的iso三体系认证化和iso三体系认证、资料管理的程序，使与职业健康有关的iso三体系认证都能传达到员工手中并保持最新版本
5.按照策划的结果进行实施和运行，主要是指运行控制（4.4.6）
6.对潜在的、重大的风险建立应急预案并定期进行演练，以检验预案的可操作性，如防火预案