1、企业管理者代表或其他负责人积极参加新版标准解读或相关研讨会了解标准改版内容,用于领导和策划改版工作;企业内部审核员、风险评估小组成员参加专业技术培训,了解改版方向。
2、在企业人员了解标准改版方向及要点后,应该内部进行风险管理检查,评估原有风险管理程序和风险评估过程记录,修订程序,进行风险再评估,从原来的信息资产关注转换为业务风险和相关方影响关注。
3、进行体系文件升级,根据新标准要求并结合风险再评估结果,主要对手册、SoA、制度和表格进行修订,并重点关注职责权限、信息安全管理目标、利益相关方的信息安全需求收集、供应链信息安全风险的考虑。
4、对体系运行评审,修订后体系在运行一段时间后,组织利用信息安全目标、有效性测量、内部审核、管理评审等评审工具对体系的运行进行评审,以迎接新版的外部评审。
