信息安全管理体系建设过程:
3-1 规划与建立
组织背景
1.建立信息安全管理体系的基础
2.了解组织有关信息安全的内部(人员、管理、流程等)和外部(合作伙伴、供应商、外包商等)问题
3.确定ISMS管理范围
4.建立、实施、运行、保持和持续改进符合国际要求的ISMS
领导力
1.管理承诺是建立信息安全管理体系的关键成功因素之一
2.建立在组织的整体管理基础,需要组织整体参与
3.组织高层确定的信息安全方针并文档化,明确描述组织的角色、职责和权限
计划
1.计划建立在风险评估基础上
2.计划必须符合组织的安全目标
3.层次改进
支持
1.获得资源
2.全员宣贯培训
3-2 实施与运行
1.实施风险评估,确定所识别信息资产的信息安全风险以及处理信息安全风险的决策,形成信息安全要求
2.控制措施适度安全
3.控制在适用性声明中形成文件
3-3 监视和评审
根据组织政策和目标,监控和评估绩效来维护和改进ISMS
1.监测、测量、分析和评价
2.内部审核
3.管理评审
3-4 维护和改进
1.不符合和纠正措施
2.持续改进
4.文档化
4-1 体系文件分类
4-2 文件控制
1.文件建立
2.文件批准发布
3.文件评审与更新
4.文件保存
5.文件作废
4-3 记录管理
应保留过程执行记录和所有与信息安全管理体系有关的安全事故发生的记录。
