確定信息安全管理體系的適用範圍。信息安全管理體系的範圍是需要重點管理的安全領域。組織需要根據自身的實際情況,在整個組織或個別部門或領域實施。在此階段,應將組織劃分為不同的信息安全控制領域,便於組織在不同需求的領域進行適當的信息安全管理。在定義應用範圍時,應重點關註組織的適用環境、適用人員、現有IT技術和現有信息資產。
調查和風險評估。依據相關信息安全技術和管理標準,調查和評估信息系統及其處理、傳輸和存儲的信息的保密性、完整性、可用性等安全屬性,評估信息資產面臨的威脅和引發安全事件的可能性,結合安全事件涉及的信息資產價值,判斷壹旦發生安全事件對組織造成的影響。
建立信息安全管理框架:建立信息安全管理體系,需要規劃和建立合理的信息安全管理框架,從整體和全局的角度從信息系統的各個層面進行整體安全建設,從信息系統本身建立信息資產清單,進行風險分析、需求分析、選擇安全控制、準備適用性聲明等步驟,從而建立安全體系,提出安全解決方案。
信息安全管理體系文件的編制:建立並保持文件化的信息安全管理體系是ISO/IEC27001:2005標準的壹般要求。信息安全管理體系文件的編制是建立信息安全管理體系的基礎工作,也是組織控制風險、評估和改進信息安全管理體系並實現持續改進的不可或缺的依據。信息安全管理體系中建立的文件應包括:安全政策文件、適用範圍文件、風險評估文件、實施和控制文件、適用性聲明文件。
信息安全管理體系的運行與改進。信息安全管理體系文件編制完成後,組織應按照文件的控制要求進行審核和批準,並發布實施。至此,信息安全管理系統將進入運行階段。在此期間,組織應加強運行,充分發揮系統本身的功能,及時發現系統策劃中存在的問題,找出問題的根源,采取糾正措施,按照變更控制程序的要求對系統進行變更,進壹步完善信息安全管理體系。
信息安全管理體系審計。體系審核是壹個系統的、獨立的和有文件記錄的檢查過程,以獲取審核證據,客觀地評價體系並確定符合審核準則的程度。體系審核包括內部審核和外部審核(第三方審核)。內部審核壹般以組織的名義進行,可作為組織自我資格檢查的依據;外部審核由外部獨立機構進行,可以提供符合要求的認證或註冊(如ISO/IEC27001)。