企业ISO27001认证实施的过程中,建立信息安全管理机构至关重要,不论是初审还是年审或者相关业务的需要,都说明了信息安全管理机构不可或缺。那么,该如何建立呢?
标准没有规定信息安全管理机构的名称,因此名称并不重要。从目前的情况看,许多组织在建立ISMS之前,已经运行了其它的管理体系,如QMS和EMS等。因此,最有效与节省资源的办法是将信息安全管理机构合并于现有管理体系的管理机构,实行一元化领导。
基层:基层部门指定一位兼职的信息安全检查员,实施对其本部门的日常信息安全监视和检查工作。