ISMS系統文件的發(fā)布與實(shí)施。
目的:發(fā)布ISMS信息安全管理系統文件，落實(shí)管理要求。

內容:最高管理人員組織發(fā)布管理文件，提出管理要求。

包括：
①召開(kāi)文件發(fā)布會(huì )，最高管理人員提出信息安全管理體系運行的總體要求，讓全體員工意識到信息安全管理體系文件是管理活動(dòng)的行動(dòng)指南和強制性要求；

②各流程負責人根據信息安全管理系統文件的要求開(kāi)展各種管理活動(dòng)，保持信息安全管理系統要求的記錄；認證項目組收集系統運行中發(fā)現的問(wèn)題，包括流程、職責、資源、技術(shù)等。，并統一修改、處理和回復。

 

組織全體員工學(xué)習文件。
目的:確保信息安全管理系統文件要求在各級、各崗位有效溝通和理解。

內容:培訓是增強信息安全意識、明確信息安全要求的有效途徑，組織全體員工參與系統的運行和維護，在每個(gè)員工中發(fā)揮重要作用。

 

包括：
(1)充分考慮管理活動(dòng)的范圍，設計不同層次、不同階段的系統培訓計劃；

②考慮到培訓中管理要求的內容和技術(shù)要求，系統文件不會(huì )簡(jiǎn)單照本宣科；評價(jià)培訓效果，通過(guò)考試、實(shí)際操作、討論等方式進(jìn)行，保證培訓的有效性。

 

十三、業(yè)務(wù)連續管理。
目的:確保核心業(yè)務(wù)在任何情況下都能保持提供連續服務(wù)的能力。

內容:根據標準要求，設計重大災難性事件引發(fā)的業(yè)務(wù)中斷應急響應和災難恢復。

 

包括：
(1)從戰略層面考慮業(yè)務(wù)連續性和可持續性，明確每個(gè)核心業(yè)務(wù)流程的最大允許中斷時(shí)間；

 

②識別核心業(yè)務(wù)可能遭受的災難性風(fēng)險事件；

③評估災難性事件的影響；

④針對災難性事件，設計控制措施，制定詳細的業(yè)務(wù)連續性計劃，包括應急響應的組織結構、人員職責、響應過(guò)程、恢復過(guò)程等。

⑤實(shí)施業(yè)務(wù)連續性計劃所需的管理和技術(shù)改進(jìn)；

⑥測試業(yè)務(wù)連續性計劃的每一步，確保其有效性；根據測試結果，進(jìn)一步完善業(yè)務(wù)連續性計劃，為應對災難提供信心保障。

 

 

十四、審計培訓和內部審計。
目的:實(shí)施內部審計，發(fā)現信息安全管理系統運行不一致，尋找改進(jìn)機會(huì )。

內容:根據項目計劃進(jìn)行內部審核。

 

包括：
(1)制定內部審計計劃，與被審計人員溝通；

②召開(kāi)首次內部審計會(huì )議，明確審計計劃、審計范圍、審計目的、審計活動(dòng)安排等事項；

③帶領(lǐng)內部審計人員實(shí)施現場(chǎng)審計活動(dòng):

④根據審核發(fā)現出具不符合項報告，明確審核對象、審核發(fā)現、不符合事實(shí)、改進(jìn)要求，確定整改責任人，限期改進(jìn):

⑤召開(kāi)最后一次內部審計會(huì )議，報告所有審計發(fā)現:跟蹤驗證不符合的事項，確保所有不符合的事項有效關(guān)閉。