信息安全管理体系项目需要一个有适当组织架构和资源的项目团队。这是一个常识,它也反应了 ISO 27001条款5的要求,以及附录 A.6.1.1到 A.6.1.3的控制要求。
展示管理承诺
ISO 27001条款5要求管理层展示其承诺的―建立,实施,运行,监控,审查,维护和改进信息安全管理体系‖,并且给出如下需提供证据的步骤:
1.建立信息安全政策,它应该得到正式的讨论,并由董事会或高层管理团队进行签署;
2.确保信息安全管理体系目标和计划的建立,它好由信息安全管理体系项目团队来完成;
3.建立信息安全的角色和职责,它应从建立 ISMS 项目团队入手;
4.传达信息安全的重要性给组织,为信息安全管理体系和它的持续改进提供支持;
5.为信息安全管理体系的开发和部署的各个阶段和方面提供足够的资源;
6.决定风险的接受和控制标准,这些标准应在正式的管理会议上完成;
7.确保信息安全管理体系审计的进行;
8.对信息安全管理体系进行管理评审。
项目小组/ 指导
高管理者应建立一个由业务牵头的项目小组或指导,负责设计和实施信息安全管理体系。这个团队应该是由一名对业务负责的高层经理来领导,好 的人选是组织的 CEO。
经验告诉我们,这个团队不应该由 IT经理来,因为 IT经理没有足够的跨业务和商业管理经验及威信,将业务作为一个整体来建立和 实施管理制度。
在总经理下的项目小组,应包括关键的职能部门经理以及 IT 和信息安全的技术。
如果内部没有足够的资源,应该使用外部的技术专长;当使用外部承包商时,要应用和第三方合约相关的各类控制,如 A.6.1.5的保密协议和 A.6.2的外部各方。