组织应确立并提供建立、实现、维护和持续改进信息安全管理体系所需的资源。资源管理应包括人力资源、基础设施、监视和测量资源等要求。
1.汽车企业应确定影响信息安全绩效的岗位必要的能力要求,通过经验或培训能够胜任工作。
2.使所有员工了解本企业的信息安全方针,采用教育与培训的形式使全员具备信息安全管理意识,可以包括书面安全策略、正式的信息安全培训、员工签订协议遵守组织的安全政策与程序、员工签订的业务保密协议、利用各种媒体在公司内部宣传安全问题(定期刊物、公司主页、录音录像、在线培训等)、安全规定的强制执行、鼓励员工报告可疑事件、阶段性审计等方式。
3.对沟通方式要具体落实,做到分工明确,责任到位。沟通的信息需明确易懂,与信息使用人员的认知水平相适应。沟通方法包括:最常见的电子邮件、即时通讯、会议;其他的如看板、小组讨论、专题会议、员工意见调查和调查结果、意见箱、风险警示、网站、传阅信息等。
4.文件化的信息,汽车企业可根据组织的规模及其活动、过程、产品的类型、过程及其相互作用的复杂性确定必要的文件化信息,确保在需要的地点和时间是可用的和适宜的,同时识别及控制所需的外来文件化信息。
