三體系第 6 章規(guī)劃實施的建議

      如果組織同時實施三體系，那么在體系規(guī) 劃過程中是否需要單獨做三份規(guī)劃過程中風險 與機遇分析？是否分別制定有關風險評估方面 的管理規(guī)定？如果一個組織先實施信息安全管 理體系和信息技術服務管理體系，后實施業(yè)務 連續(xù)性管理體系，又該怎么辦？ 首先，有關風險評估過程、風險評估實施 準則、識別風險、風險分析、評價風險和風險 處置的管理規(guī)定，組織在規(guī)劃過程中沒有必要 分別制定。無論從節(jié)約企業(yè)資源的角度，還是 組織在實施管理體系過程中的便利程度，建議 做好管理體系文件編寫的融合工作。 其次，三體系規(guī)劃過程中的風險與機遇分 析，內容應全面包含信息安全的風險、服務的 風險和中斷的風險。 最后，如果體系的規(guī)劃有前有后，那么應 在原有體系實施的風險與機遇的基礎上，補充 后來規(guī)劃的體系的風險與機遇的內容，并同時 對原風險評估過程、風險評估實施準則、識別風險、風險分析、評價風險和風險處置的管理 規(guī)定進行修訂。