信息安全管理體系建設(shè)過(guò)程：

3-1 規(guī)劃與建立

組織背景

1.建立信息安全管理體系的基礎(chǔ)

2.了解組織有關(guān)信息安全的內(nèi)部（人員、管理、流程等）和外部（合作伙伴、供應(yīng)商、外包商等）問(wèn)題

3.確定ISMS管理范圍

4.建立、實(shí)施、運(yùn)行、保持和持續(xù)改進(jìn)符合國(guó)際要求的ISMS

領(lǐng)導(dǎo)力

1.管理承諾是建立信息安全管理體系的關(guān)鍵成功因素之一

2.建立在組織的整體管理基礎(chǔ)，需要組織整體參與

3.組織高層確定的信息安全方針并文檔化，明確描述組織的角色、職責(zé)和權(quán)限

計(jì)劃

1.計(jì)劃建立在風(fēng)險(xiǎn)評(píng)估基礎(chǔ)上

2.計(jì)劃必須符合組織的安全目標(biāo)

3.層次改進(jìn)

支持

1.獲得資源

2.全員宣貫培訓(xùn)

3-2 實(shí)施與運(yùn)行

1.實(shí)施風(fēng)險(xiǎn)評(píng)估，確定所識(shí)別信息資產(chǎn)的信息安全風(fēng)險(xiǎn)以及處理信息安全風(fēng)險(xiǎn)的決策，形成信息安全要求

2.控制措施適度安全

3.控制在適用性聲明中形成文件

3-3 監(jiān)視和評(píng)審

根據(jù)組織政策和目標(biāo)，監(jiān)控和評(píng)估績(jī)效來(lái)維護(hù)和改進(jìn)ISMS

1.監(jiān)測(cè)、測(cè)量、分析和評(píng)價(jià)

2.內(nèi)部審核

3.管理評(píng)審

3-4 維護(hù)和改進(jìn)

1.不符合和糾正措施

2.持續(xù)改進(jìn)

4.文檔化

4-1 體系文件分類

4-2 文件控制

1.文件建立

2.文件批準(zhǔn)發(fā)布

3.文件評(píng)審與更新

4.文件保存

5.文件作廢

4-3 記錄管理

應(yīng)保留過(guò)程執(zhí)行記錄和所有與信息安全管理體系有關(guān)的安全事故發(fā)生的記錄。