信息安全组织二

　组织要有规程指明什么时候与哪个部门（例如，执法部门、供电局、消防部门、监管部门）联系，以及怀疑已识别的信息安全事件可能触犯了法律时，要如何及时报告。例如，受到来自互联网的攻击时，组织可能需要执法部门采取对攻击源行动；与制定信息安全法律法规部门的联系有助于预先知道组织必须遵循的法律法规方面预期的变化；与其他部门的联系包括公共设施、紧急服务和健康安全部门，例如供电局（与业务连续性有关）、消防局（与的业务连续性有关）、电信服务提供商（与路由和可用性有关）、供水部门（与设备的冷却设施有关）。

组织要和相关利益方（客户或供应商）、其他安全专家组和专业协会保持适当的联系， 以便：

1)增进对最佳实践和最新相关安全信息的了解；

2)确保全面了解当前的信息安全环境；

3)尽早收到关于攻击和脆弱性的预警、建议和补丁；

4)获得信息安全专家的建议；

5)分享和交换关于新的技术、产品、威胁或脆弱性的信息；

6)提供处理信息安全事件时适当的联络点。

组织应将信息安全整合进项目管理方法中，以确保信息安全风险作为项目风险的一部分被识别和解决。这一般要求适用于任何性质的项目，如项目核心业务流程，IT，设施管理和其他配套工艺。项目管理方法应要求：

1)项目目标包含信息安全目标；

2)项目的早期阶段应进行信息安全风险评估以识别需要的控制措施；

3)应用的项目方法的所有阶段都应将信息安全作为其一部分。

在所有项目中应定期解决和审查信息安全问题，应按照项目管理方法中的定义将信息安全责任定义和分派到指定角色。