如果组织同时实施三体系,那么在体系规
划过程中是否需要单独做三份规划过程中风险
与机遇分析?是否分别制定有关风险评估方面
的管理规定?如果一个组织先实施信息安全管
理体系和信息技术服务管理体系,后实施业务
连续性管理体系,又该怎么办?
首先,有关风险评估过程、风险评估实施
准则、识别风险、风险分析、评价风险和风险
处置的管理规定,组织在规划过程中没有必要
分别制定。无论从节约企业资源的角度,还是
组织在实施管理体系过程中的便利程度,建议
做好管理体系文件编写的融合工作。
其次,三体系规划过程中的风险与机遇分
析,内容应全面包含信息安全的风险、服务的
风险和中断的风险。
最后,如果体系的规划有前有后,那么应
在原有体系实施的风险与机遇的基础上,补充
后来规划的体系的风险与机遇的内容,并同时
对原风险评估过程、风险评估实施准则、识别风险、风险分析、评价风险和风险处置的管理
规定进行修订。
