建立信息安全管理体系应该做以下几方面的工作:
1。根据业务、组织、位置、资产和技术等方面的特性、确定信息安全管理体系的边界,包括对范围任何删减的详细说明和正当性理由;
2。根据业务、组织、位置、资产和技术等方面的特性确定信息安全管理体系方针:方针因该包括以下方面:
(1)设定目标的框架和建立信息安全工作的总方向和总原则;
(2)考虑业务和法律法规的要求,以及合同中的安全义务;
(3)在组织的战略性风险管理环境下,建立和保持信息安全管理体系;
(4)建立风险评估的准则
(5)获得管理着批准;
3。确定组织的人风险评估方法
4。识别风险