ISMS项目错误认识

• ISMS 是一套纯管理的标准，与技术无关
• 项目交付就是一些制度文档
• 安全部门自己就能搞定

安全部门牵头，覆盖主要的业务部门

ISMS 是组织开展并改进安全工作的系统的一套思路和方法（PDCA）

项目目的

1. 认证导向（乙方）
2. 改进导向（周期 长大小广深度深）

----------------------------

项目范围确定

-组织部门，物理地点，IT资源

第一次范围不建议过大

项目的组织

-高管、重点参与部门、协作部门

项目沟通机制

-与高层领导、与各个部门

----------------------

ISMS实施注意事项

现状调研->风险评估->安全规划->体系建设->体系运行->认证审核

1. 调研与后续工作的关系？
2. 风险处置计划与安全规划？
3. 风险评估、制度编写、体系运行谁来做
4. 关于体系文件制定不宜拖太长时间
5. 所有领域在运行阶段都能落地---不现实
6. 阶段性汇报，高层关注的重要性
7. 建立--推广--优化--精细化--自动化

范围：

组织部门、物理地点、IT资源

项目的组织：

高管、重点参与部门、协作部门

项目沟通机制：

与高层领导、与各个部门

建立→推广→优化→精细化→自动化

长期、多次项目，逐渐扩大范围。

沟通、合作。