ISMS系統文件的發布與實施。
目的:發布ISMS信息安全管理系統文件，落實管理要求。

內容:最高管理人員組織發布管理文件，提出管理要求。

包括：
①召開文件發布會，最高管理人員提出信息安全管理體系運行的總體要求，讓全體員工意識到信息安全管理體系文件是管理活動的行動指南和強制性要求；

②各流程負責人根據信息安全管理系統文件的要求開展各種管理活動，保持信息安全管理系統要求的記錄；認證項目組收集系統運行中發現的問題，包括流程、職責、資源、技術等。，并統一修改、處理和回復。

 

組織全體員工學習文件。
目的:確保信息安全管理系統文件要求在各級、各崗位有效溝通和理解。

內容:培訓是增強信息安全意識、明確信息安全要求的有效途徑，組織全體員工參與系統的運行和維護，在每個員工中發揮重要作用。

 

包括：
(1)充分考慮管理活動的范圍，設計不同層次、不同階段的系統培訓計劃；

②考慮到培訓中管理要求的內容和技術要求，系統文件不會簡單照本宣科；評價培訓效果，通過考試、實際操作、討論等方式進行，保證培訓的有效性。

 

十三、業務連續管理。
目的:確保核心業務在任何情況下都能保持提供連續服務的能力。

內容:根據標準要求，設計重大災難性事件引發的業務中斷應急響應和災難恢復。

 

包括：
(1)從戰略層面考慮業務連續性和可持續性，明確每個核心業務流程的最大允許中斷時間；

 

②識別核心業務可能遭受的災難性風險事件；

③評估災難性事件的影響；

④針對災難性事件，設計控制措施，制定詳細的業務連續性計劃，包括應急響應的組織結構、人員職責、響應過程、恢復過程等。

⑤實施業務連續性計劃所需的管理和技術改進；

⑥測試業務連續性計劃的每一步，確保其有效性；根據測試結果，進一步完善業務連續性計劃，為應對災難提供信心保障。

 

 

十四、審計培訓和內部審計。
目的:實施內部審計，發現信息安全管理系統運行不一致，尋找改進機會。

內容:根據項目計劃進行內部審核。

 

包括：
(1)制定內部審計計劃，與被審計人員溝通；

②召開首次內部審計會議，明確審計計劃、審計范圍、審計目的、審計活動安排等事項；

③帶領內部審計人員實施現場審計活動:

④根據審核發現出具不符合項報告，明確審核對象、審核發現、不符合事實、改進要求，確定整改責任人，限期改進:

⑤召開最后一次內部審計會議，報告所有審計發現:跟蹤驗證不符合的事項，確保所有不符合的事項有效關閉。