ISMS系統(tǒng)文件的發(fā)布與實(shí)施。
目的:發(fā)布ISMS信息安全管理系統(tǒng)文件，落實(shí)管理要求。

內(nèi)容:最高管理人員組織發(fā)布管理文件，提出管理要求。

包括：
①召開文件發(fā)布會(huì)，最高管理人員提出信息安全管理體系運(yùn)行的總體要求，讓全體員工意識(shí)到信息安全管理體系文件是管理活動(dòng)的行動(dòng)指南和強(qiáng)制性要求；

②各流程負(fù)責(zé)人根據(jù)信息安全管理系統(tǒng)文件的要求開展各種管理活動(dòng)，保持信息安全管理系統(tǒng)要求的記錄；認(rèn)證項(xiàng)目組收集系統(tǒng)運(yùn)行中發(fā)現(xiàn)的問題，包括流程、職責(zé)、資源、技術(shù)等。，并統(tǒng)一修改、處理和回復(fù)。

 

組織全體員工學(xué)習(xí)文件。
目的:確保信息安全管理系統(tǒng)文件要求在各級(jí)、各崗位有效溝通和理解。

內(nèi)容:培訓(xùn)是增強(qiáng)信息安全意識(shí)、明確信息安全要求的有效途徑，組織全體員工參與系統(tǒng)的運(yùn)行和維護(hù)，在每個(gè)員工中發(fā)揮重要作用。

 

包括：
(1)充分考慮管理活動(dòng)的范圍，設(shè)計(jì)不同層次、不同階段的系統(tǒng)培訓(xùn)計(jì)劃；

②考慮到培訓(xùn)中管理要求的內(nèi)容和技術(shù)要求，系統(tǒng)文件不會(huì)簡單照本宣科；評(píng)價(jià)培訓(xùn)效果，通過考試、實(shí)際操作、討論等方式進(jìn)行，保證培訓(xùn)的有效性。

 

十三、業(yè)務(wù)連續(xù)管理。
目的:確保核心業(yè)務(wù)在任何情況下都能保持提供連續(xù)服務(wù)的能力。

內(nèi)容:根據(jù)標(biāo)準(zhǔn)要求，設(shè)計(jì)重大災(zāi)難性事件引發(fā)的業(yè)務(wù)中斷應(yīng)急響應(yīng)和災(zāi)難恢復(fù)。

 

包括：
(1)從戰(zhàn)略層面考慮業(yè)務(wù)連續(xù)性和可持續(xù)性，明確每個(gè)核心業(yè)務(wù)流程的最大允許中斷時(shí)間；

 

②識(shí)別核心業(yè)務(wù)可能遭受的災(zāi)難性風(fēng)險(xiǎn)事件；

③評(píng)估災(zāi)難性事件的影響；

④針對(duì)災(zāi)難性事件，設(shè)計(jì)控制措施，制定詳細(xì)的業(yè)務(wù)連續(xù)性計(jì)劃，包括應(yīng)急響應(yīng)的組織結(jié)構(gòu)、人員職責(zé)、響應(yīng)過程、恢復(fù)過程等。

⑤實(shí)施業(yè)務(wù)連續(xù)性計(jì)劃所需的管理和技術(shù)改進(jìn)；

⑥測(cè)試業(yè)務(wù)連續(xù)性計(jì)劃的每一步，確保其有效性；根據(jù)測(cè)試結(jié)果，進(jìn)一步完善業(yè)務(wù)連續(xù)性計(jì)劃，為應(yīng)對(duì)災(zāi)難提供信心保障。

 

 

十四、審計(jì)培訓(xùn)和內(nèi)部審計(jì)。
目的:實(shí)施內(nèi)部審計(jì)，發(fā)現(xiàn)信息安全管理系統(tǒng)運(yùn)行不一致，尋找改進(jìn)機(jī)會(huì)。

內(nèi)容:根據(jù)項(xiàng)目計(jì)劃進(jìn)行內(nèi)部審核。

 

包括：
(1)制定內(nèi)部審計(jì)計(jì)劃，與被審計(jì)人員溝通；

②召開首次內(nèi)部審計(jì)會(huì)議，明確審計(jì)計(jì)劃、審計(jì)范圍、審計(jì)目的、審計(jì)活動(dòng)安排等事項(xiàng)；

③帶領(lǐng)內(nèi)部審計(jì)人員實(shí)施現(xiàn)場(chǎng)審計(jì)活動(dòng):

④根據(jù)審核發(fā)現(xiàn)出具不符合項(xiàng)報(bào)告，明確審核對(duì)象、審核發(fā)現(xiàn)、不符合事實(shí)、改進(jìn)要求，確定整改責(zé)任人，限期改進(jìn):

⑤召開最后一次內(nèi)部審計(jì)會(huì)議，報(bào)告所有審計(jì)發(fā)現(xiàn):跟蹤驗(yàn)證不符合的事項(xiàng)，確保所有不符合的事項(xiàng)有效關(guān)閉。