三體系第 6 章規(guī)劃實施的建議

      如果組織同時實施三體系，那么在體系規(guī) 劃過程中是否需要單獨做三份規(guī)劃過程中風險 與機遇分析？是否分別制定有關(guān)風險評估方面 的管理規(guī)定？如果一個組織先實施信息安全管 理體系和信息技術(shù)服務(wù)管理體系，后實施業(yè)務(wù) 連續(xù)性管理體系，又該怎么辦？ 首先，有關(guān)風險評估過程、風險評估實施 準則、識別風險、風險分析、評價風險和風險 處置的管理規(guī)定，組織在規(guī)劃過程中沒有必要 分別制定。無論從節(jié)約企業(yè)資源的角度，還是 組織在實施管理體系過程中的便利程度，建議 做好管理體系文件編寫的融合工作。 其次，三體系規(guī)劃過程中的風險與機遇分 析，內(nèi)容應(yīng)全面包含信息安全的風險、服務(wù)的 風險和中斷的風險。 最后，如果體系的規(guī)劃有前有后，那么應(yīng) 在原有體系實施的風險與機遇的基礎(chǔ)上，補充 后來規(guī)劃的體系的風險與機遇的內(nèi)容，并同時 對原風險評估過程、風險評估實施準則、識別風險、風險分析、評價風險和風險處置的管理 規(guī)定進行修訂。