ISO27001认证标准管理职责是什么
1、ISO27001标准“5.1 管理承诺理解要点
建立、实施、保持和持续改进ISO27001信息安全管理体系,应是组织出于业务运营的必须作出的一项战略决策,因此建立、实施、保持和持续改进信息安全管理体系首先必须管理者作出承诺。标准本条款提出了管理者应承诺的职责。
此条文中的“管理者,指在明确的ISO27001信息安全管理体系范围内的信息安全事项具有决策权的执行最高管理者。根据组织的具体管理模式不同,该“管理者能够是1个人,也能够是一组人。
管理者履行其承诺的方式,主要在于指派和批准信息安全的相关角色以及职责和权限,为相应信息安全管理活动的展开提供资源支持。同时,管理者应承担制定ISMS方针和实施管理评审的具体职责。
为确保有关信息安全的管理决策的合理性,管理者应建立适宜的机制,确保其决策过程能够获得全面、完整、真实的信息输入,特别是在决定接受风险的准则和批准可接受风险时。
2、ISO27001标准“5.2 资源管理理解
(1)“5.2.1 资源提供理解要点标准本条款提出了明确和提供资源的意图和方向。组织应合理判断资源需求并针对组织信息安全风险的影响,采取措施提供所需的资源。
(2)“5.2.2 培训、意识和能力理解要点人力资源管理的核心宗旨是使所有承担影响信息安全职责的人员能够胜任其工作,包含直接影响和间接影响的人员,例如负责信息系统运维和审计的人员、负责含有信息的介质备份的人员、负责信息安全管理体系审核的人员等。
使人员具备相应的能力,无论采取哪一种措施,组织应有1个有效的机制来评价所采取措施的有效性,即采取的措施是否已达到预期的目的。
组织应保持相关人员的教育、培训、技能、经历和资格的记录,记录中的信息应足以说明人员能力是否能够满足相应岗位的信息安全要求。
另一方面,让相关人员具体了解组织有关信息安全违规的纪律和处罚制度也是必要的。
ISO27001认证策划的具体工作有什么
在完成现状调查与风险评估工作之后,组织 要根据已确立的信息安全方针的总体要求与信息安全管理体系 范围、风险评估的结果,明确组织信息安全结构与职责、选择控制目标与控制方式、编写风险处理计划和控制概要、制定业务持 续性计划。
组织信息安全结构与职责
组织信息安全结构明确是实施信息安全管理体系的基础与组织 安全的保证,在职责区划和编写体系文件以前,必须先进行职能分析和明确组织结构。在明确组织结构时,要坚持精简高效的原则, 尽量避免部门职能的交叉,调整组织的原有管理体系的组织结构使其适应信息安全管理体系标准中的管理需求;结合组织的类型、规 模及特点,设置管理体系运行的管理部门,使其负责管理体系的建立、实施、协调及监督管理,不断地发现管理体系运行中的问题, 以便及时调整、改进。
选择控制目标与控制方式
组织应根据风险评估的结果,并考虑控制 费用与风险平衡的原则,选择适合组织的控制目标与控制方式。
编写控制概要
控制概要中应对根据风险评估结果选择的控制目标与控制方式进行详细的说明。
制定业务持续性计划
为降低信息安全事件或自然灾害对组织业务持续性的影响,组织应在 风险评估的基础上编制业务持续性计划并保持计划的有效性。