作为华为供应链的供应商,要应对华为信息安全和网络安全的审核,该如何来建立信息安全和网络安全组织呢?
首先,信息安全和网络安全组织,有三个方面的:
第一, 集团层面的信息安全组织,也就是ISO/IEC 27001要求的信息安全组织。
第二, 事业部层面(即华为项目层面)的信息安全组织。
第三, 事业部层面(即华为项目层面)的网络安全组织。
其中,后面两项也可以合并为事业部层面(即华为项目层面)的信息安全组织,但在描述职责时,需要包含华为要求的信息安全和网络安全两方面的职责
其次,各个层面的信息安全组织或网络安全组织,需要包含以下几部分内容:
第一,(集团层面或事业部层面的)信息安全或网络安全管理委员会。
第二,信息安全和网络安全管理部门(即信息安全和网络安全专职部门,并配备相应的信息安全或网络专职人员)。
第三, 各部门信息安全和网络安全负责人,一般就是该部门的负责人。
第四, 各部门信息安全和网络安全专员(即信息安全和网络安全兼职人员),负责日常工作的沟通,对接和推动信息安全和网络安全的实施。
详细做法,可以参考:华为供应链信息安全管理体系要求审核应对方案 和 华为供应链网络安全管理体系要求审核应对方案