控制目标和控制的评论,记录组织内相关的风险控制目标和针对每种风险所采取的各种控制措施。 Р 2)实施信息安全体系(D01 Р 在DO阶段将解决方案付诸实现,实施组织所选择的控制目标与控制措施。 Р 3)检查信息安全体系(cHECK) Р 在CH ECK阶段进行有关方针、程序、标准与法律法规的符合性检查,对存在的问题采取措施,予以改进,以保证控制措施的有效运行。在此过程中,要根据风险评估的对象及范围的变化情况。以及时调整或完善控制措施。常见的检查措施有:日常检查、从其他处学习、内部ISMS审核、管理评审、趋势分析等。 Р 4)改进信息安全体系(ACT) Р 在ACT阶段对ISMS进行评价。以检查阶段发现的问题为基础,寻求改进的机会,采取相应的措施进行调整与改进。 Р Р 三、提高信息安全管理水平 РР Р 各组织根据业务所需选择不同的国际、国内标准搭建信息安全管理体系(ISMS),无论是基于国际信息安全标准IS027000,还是基于国家标准国家等级保护测评准则的要求,信息安全管理体系(ISMS)的建立并不是一蹴而就的。ISMS只是提供了一些原则性的建议,怎样才能将这类原则性的建议与工作中的实际情况相结合在一起,实施符合自身状况的信息安全管理体系,才是真正具有挑战性的工作。要真正的将信息安全管理体系落到实处,不能仅仅停留在一年一到两次的风险评估、突击性的控制措施实施和一套看似完备的信息安全管理制度,只有需通过不断健全和完善信息安全管理体系,不断提升全体员工信息安全意识。加强安全组织管理建设,培养信息安全人才,才能有效地控制信息系统的风险,减少了潜在的风险隐患、有效地降低信息系统面临的风险。达到保障信息系统的安全运行的目的。从而实现信息安全管理水平的整体提升。 Р Р Р Р Р РРР???????РР???????2/view-516532