1、

理发了，好帅

27001  14个安全领域，

分为4级，

第1级 信息安全方针，

第2级信息安全要求

第3级 XXX手册，XXX流程，XXX指南

整个文件体系必须 领导批准，通过正当渠道发放给员工，

很多企业规章制度，员工都不清楚，

强调建立 规章制度，告知第三方，员工，

应该周期性对体系文件进行不断的更新，变化 ，

将监管要求转化为体系要求，

一年，半年评审一下相关制度，

有安全岗位，

安全组织建立 ，

组织 的信息安全管理部门，

执行组织 ：包括，所有IT职能部门和业务部门，

首先去定义我们的信息安全组织 ，

岗位分工，

职责 分离：开发和测试分离，会计和出纳分离，

系统程序员和系统管理员分离

防止开发人员安装后门，

央企;人员不足，

设置堡垒机，

与政府部门的适当联系，有相关信息的获取 ，

CNCERT,安全事件处理，

与特定利益集团的联系，安全服务商，

安全组织-执行组织：

IT职能部门和业务部分