信息安全管理之PDCA过程中建立ISMS

1.建立ISMS

组织应根据业务、组织、位置、资产和技术等方面的特性，确定ISMS的范围和边界， 包括对范围任何册0减的详细说明和正当性理由。一般lSMs的范围可以包括全组织或组织中若干个部门或分支，特殊情况下也可以针对组织的某些具体业务流程（女吨子商务、电子政务、智能制造等）确定ISMS的范围边界。一旦确定后必须以正式文件形式加以记录和发布。

组织应根据业务、组织、位置、资产和技术等方面的特性，确定ISMS方针。ISMS方针应：1）包括设定目标的框架和建立信息安全工作的总方向和原则；2）考虑业务和法律法规的要求，及合同中的安全义务；3）在组织的战略性风险管理环境下，建立和保持ISMS;4)建立风险评价的准则；5）获得管理者批准。ISMS方针也被认为是信息安全方针的一个扩展集。这些方针应该在一个正式文件（信息安全方针或信息安全管理体系手册）中进行描述。

组织应确定组织的风险评估方法：包括识别适合ISMS、已识别的业务信息安全和法律法规要求的风险评估方法；制定接受风险的准则和风险评估方法（定性化风险评估、定量化风险评估、半定量风险评估等），由管理者代表确定可接受的风险级别。选择的风险评估方法应确保风险评估产生可比较的和可再现的结果。