1.企業管理者代表或其他負責人積極參與新標準的解讀或相關研討會,了解標準的修訂內容,用於領導和策劃修訂工作。企業內審員和風險評估小組成員參加專業技術培訓,了解修訂方向。
2.企業人員了解標準修訂的方向和重點後,應進行內部風險管理檢查和評估,從原來的信息資產關註到業務風險和關聯方影響關註進行風險再評估。
3.升級系統文檔。根據新標準,主要結合風險再評估結果對手冊、SoA、制度和表格進行了修訂,重點關註了職責權限、信息安全管理目標、利益相關方信息安全需求收集、供應鏈信息安全風險考量等內容。
4.系統運行回顧修訂後,系統運行壹段時間後將組織使用信息安全有效性測量、內部審計和管理評價。
審查和其他審查工具審查系統的運行情況,為新的外部審查做準備。