isms实施的八个步骤
1、差距分析(可选)
2、建立信息安全管理组织
3、定义信息安全管理体系的范围
4、识别和对资产进行分类
5、风险分析
6、风险管理
7、内部审计
8、认证审核
差距分析->定义范围->资产识别与分类->风险分析->风险处置
|
内部审计->认证审核
差距分析:iso27001差距分析是将组织当前的信息安全管理实践同iso27001基准的控制措施做对比,以便检验出当前水平的差距。
1、对本组织当前的信息安全水平有一个清楚的了解
2、列出信息安全控制措施的薄弱项和缺失项
3、这些安全控制的薄弱可能造成的不良影响
4、评估将花费多少金钱,时间和人员来实施信息安全管理体系所必要的控制措施