建立信息安全管理体系的步骤如下:
1.定义信息安全策略
信息安全策略需按组织内各部门的具体情况,对应制订不一样的安全策略。信息安全策略应简单明白、通俗易懂,并构成书面文件,发向组织内的所有成员,同时要对全部相关员工培训信息安全策略,对信息安全有特殊责任的人员得特殊的培训,为了让信息安全方针确实植根在组织内全部员工中并执行到实际工作中。
2.建立信息安全管理体系的步骤定义ISMS的范围
ISMS的范围确定得重点在信息安全管理的领域,组织需要按自己的实际情况,在整个组织内,或在有些部门及领域构架ISMS。在这个阶段,应把组织划成不一样的信息安全控制领域,为方便组织对有不一样需求的领域实施合适的信息安全管理。
3.进行信息安全风险评估
信息安全风险评估的复杂程度将由风险的复杂程度与受保护资产的敏感程度决定,用的评估手段应与组织保护信息资产风险的需求相同。风险评估主要鉴定与估价ISMS范围内的信息资产,之后评估信息资产存在的各种威胁与脆弱性,同时鉴定已有的或规划的安全管制措施。风险评估主要依靠商业信息与系统性质、使用信息的商业目的、用的系统环境等因素,组织在信息资产风险评估时,需一起考虑直接后果与潜在后果。
4.信息安全风险管理
由风险评估的结果进行对应的风险管理。信息安全风险管理的措施主要有以下几种。
(1)降低风险:在转嫁风险前,第一步得先考虑采取手段降低风险。
(2)避免风险:有些风险很易避免。
(3)转嫁风险:一般仅有当风险无法降低或避免,且被第三方接受时才用。通常用在那些小概率的但一旦发生就会对组织有重大影响的风险。
(4)接受风险:用在那些在采取了降低风险与避免风险措施后,出于实际和经济方面的原因,只要组织实施运营,就一定有并肯定会接受的风险。
5.确定管制目标和选择管制措施
管制目标的确定和管制措施的选择原则是费用不多于风险造成的损失。因信息安全是个动态的系统工程,组织应实时对选择的管制目标与措施进行校验与调整,以适应情况变化,使组织的信息资产有效、经济、合理的得以保护。
6.准备信息安全适用性声明
信息安全适用性声明写了组织内有关的风险管制目标与对应的各种控制措施。准备信息安全适用性声明,一方面是为了给组织内的员工表明看待信息安全风险的态度,在更大程度上则是为了对外界体现组织的态度与作为,说明组织已全面、系统地看待了信息安全系统,并把全部有管制需求的风险控制在能接受的范围内。