信息安全管理之PDCA过程中实施和运行ISMS

2.实施和运行ISMS

组织应为管理信息安全风险识别适当的管理措施、资源、职责和优先顺序，即：制定风险处置计划；实施风险处置计划以达到已识别的控制目标，包括资金安排、角色和职责的分配；实施选择的控制措施，以满足控制目标；确定如何测量所选择的控制措施或控制措施集的有效性，并指明如何用这些测量措施来评估控制措施的有效性，以产生可比较的和可再现的结果；实施培训和意识教育计划；管理ISMS的运行；管理ISMS的资源；实施能够迅速检测安全事态和响应安全事件的规程和其他控制措施。