信息安全越来越受到重视,企业组织应在其整体业务活动和所面临风险的环境下建立、实施、运行、监视、评审、保持和改进文件化的ISO27001信息安全体系(ISMS),那么应该怎么做呢,下面将简单地进行介绍。
想要建立ISMS,组织要做以下方面的工作:
1、根据业务、 组织、位置、资产和技术等方面的特性,确定ISMS的范围和边界,包括对范围;
2、根据业务、组织、位置、资产和技术等方面的特性,确定ISMS方针;
3、确定组织的风险评估方法;
4、识别风险;
5、分析和评价风险;
6、识别和评价风险处理的可选措施;
7、为处理风险选择控制目标和控制措施。
以上七条就是企业要建立ISO27001认证ISMS体系需要注意的地方。