信息安全管理體系建設過程:
3-1 規(guī)劃與建立
組織背景
1.建立信息安全管理體系的基礎
2.了解組織有關信息安全的內部(人員����、管理、流程等)和外部(合作伙伴�����、供應商�、外包商等)問題
3.確定ISMS管理范圍
4.建立�����、實施�����、運行�����、保持和持續(xù)改進符合國際要求的ISMS
領導力
1.管理承諾是建立信息安全管理體系的關鍵成功因素之一
2.建立在組織的整體管理基礎�,需要組織整體參與
3.組織高層確定的信息安全方針并文檔化����,明確描述組織的角色、職責和權限
計劃
1.計劃建立在風險評估基礎上
2.計劃必須符合組織的安全目標
3.層次改進
支持
1.獲得資源
2.全員宣貫培訓
3-2 實施與運行
1.實施風險評估��,確定所識別信息資產的信息安全風險以及處理信息安全風險的決策���,形成信息安全要求
2.控制措施適度安全
3.控制在適用性聲明中形成文件
3-3 監(jiān)視和評審
根據(jù)組織政策和目標�����,監(jiān)控和評估績效來維護和改進ISMS
1.監(jiān)測�����、測量����、分析和評價
2.內部審核
3.管理評審
3-4 維護和改進
1.不符合和糾正措施
2.持續(xù)改進
4.文檔化
4-1 體系文件分類
4-2 文件控制
1.文件建立
2.文件批準發(fā)布
3.文件評審與更新
4.文件保存
5.文件作廢
4-3 記錄管理
應保留過程執(zhí)行記錄和所有與信息安全管理體系有關的安全事故發(fā)生的記錄。
