|
|
| 信息安全基本知识(14):如何设立信息安全管理组织? |
| 来源 |
|
作者 |
张耀疆 |
日期 |
2007-2-25 11:17:35 |
为了有效运行、维护和改进ISMS,组织应该着手完善自己的信息安全管理组织架构,通常应该考虑以下几点:
1).信息安全委员会:组织应该建立全公司统一的信息安全委员会,评审信息安全方针,确保对安全措施的选择有一个明确的指导方向并且得到高管的实际支持,同时负责协调信息安全控制措施的实施情况,对重大变更进行决策,审查信息安全事故。信息安全委员会的成员应该包括:组织高管代表(通常是总经理)、信息安全主管、各单位代表(包括业务部门和IT 部门)。
2).信息安全主管:通常由组织的最高管理者委任,是组织高管在信息安全管理方面的代表。信息安全主管负责组织的信息安全方针的贯彻与落实,发生安全事故时,还需要做现场的指导和统筹。
3).信息安全委员:组织各个部门应该有代表作为信息安全委员会的成员,除了承担信息安全委员会共同职责外,还应该负责各自部门内部的安全控制活动。
4).内审员:信息安全主管应该委派ISMS内审人员,组建内审小组,按照既定的内审流程,对已实施的ISMS进行ISO27001符合性审查,以便及时发现问题,予以纠正。内审员必须由经过ISMS审核培训的、且有一定经验和技能的员工担任,内审工作应该保持独立性,最好是专人负责内审事务。 |
| 上一篇:信息安全基本知识(13):什么是信息安全管理体系? |
| 下一篇:信息安全基本知识(15):怎样加强人员安全意识? |
|
