企业ISO27001认证如何建立信息安全管理机构
发布时间:2020-09-01 作者:广汇联合 来源:广汇联合
企业在ISO27001认证实施的过程中,建立信息安全管理机构至关重要,不论是初审还是年审或者相关业务的需要,都说明了信息安全管理机构不可或缺。那么,该如何建立呢?
1、信息安全管理机构的名称
标准没有规定信息安全管理机构的名称,因此名称并不重要,从目前的情况看,许多组织在建立ISMS之前,已经运行了其它的管理体系,如QMS和EMS等,因此,最有效与节省资源的办法是将信息安全管理机构合并于现有管理体系的管理机构,实行一元化领导。
2、信息安全管理机构的级别
信息安全管理机构的级别应根据组织的规模和复杂性而决定。从管理效果看,对于中等以上规模的组织,最好设立三个不同级别的信息安全管理机构:
高层:以总经理或管理者代表为领导,确保信息安全工作有一个明确的方向和提供管理承诺和必要的资源。
中层:负责该组织日常信息安全的管理与监督活动。
基层:基层部门指定一位兼职的信息安全检查员,实施对其本部门的日常信息安全监视和检查工作。