1
信息安全管理体系建立和运行步骤
信息安全管理体系建立和运行步骤
ISO27001 标准要求组织建立并保持一个文件化的信息安全管理体系,其中应阐
述需要保护的资产、组织风险管理的渠道、控制目标及控制方式和需要的保证程
度。
不同的组织在建立与完善信息安全管理体系时,可根据自己的特点和具体情况,
采取不同的步骤和方法。但总体来说,建立信息安全管理体系一般要经过下列四
个基本步骤:信息安全管理体系的策划与准备;信息安全管理体系文件的编制;
信息安全管理体系运行;信息安全管理体系审核与评审。
如果考虑认证过程其详细的步骤如下:
1 现场诊断;
2 确定信息安全管理体系的方针、目标;
3 明确信息安全管理体系的范围,根据组织的特性、地理位置、资产和技术来
确定界限;
4 对管理层进行信息安全管理体系基本知识培训;
5 信息安全体系内部审核员培训;
6 建立信息安全管理组织机构;
7 实施信息资产评估和分类,识别资产所受到的威胁、薄弱环节和对组织的影
响,并确定风险程度;
8 根据组织的信息安全方针和需要的保证程度通过风险评估来确定应实施管理
的风险,确定风险控制手段;
9 制定信息安全管理手册和各类必要的控制程序 ;
10 制定适用性声明;
11 制定商业可持续性发展计划;
1