1.1 如何建立ISMS

组织的业务目标和信息安全要求紧密相关。实际上，任何组织成功经营的能力在很大程度上取决于其有效地管理其信息安全风险的才干。因此，如何确保信息安全已是各种组织改进其竞争能力的一个新的挑战任务。组织建立一个基于ISO/IEC 27001:2005 ISMS，已成为时代的需要。

从简单分析ISO/IEC 27001:2005标准的要求入手，下面的内容论述了建立一个符合标准要求的ISMS的要点。

1.1.1 正确理解ISMS的含义和要素

ISMS建设人员只有正确地理解ISMS的含义、要素和ISO/IEC 27001:2005标准的要求之后，才有可能建立一个符合要求的完善的ISMS。

ISMS的含义

在ISO/IEC 27001标准中，已对ISMS做出了明确的定义。通俗地说，组织有一个总管理体系，ISMS是这个总管理体系的一部分，或总管理体系的一个子体系。ISMS的建立是以业务风险方法为基础，其目的是建立、实施、运行、监视、评审、保持和改进信息安全。

如果一个组织有多个管理体系，例如包括ISMS、QMS（质量管理体系）和EMS（环境管理体系）等，那么这些管理体系就组成该组织的总管理体系，而每一个管理体系只是该组织总管理体系中的一个组成部分，或一个子管理体系。各个子管理体系必须相互配合、协调一致地工作，才能实现该组织的总目标。

ISMS的要素

标准还指出，管理体系包括“组织的结构、方针、规划活动、职责、实践、程序、过程和资源”（见ISO/IEC 27001:2005 3.7）。这些就是构成管理体系的相互依赖、协调一致，缺一不可的组成部分或要素。我们将其归纳后，ISMS的要素要包括：

1) 信息安全管理机构

通过信息安全管理机构，可建立各级安全组织、确定相关人员职责、策划信息安全活动和实践等。

2) ISMS文件

包括ISMS方针、过程、程序和其它必须的文件等。

3) 资源

包括建立与实施ISMS所需要的合格人员、足够的资金和必要的设备等。

ISMS的建立要确保这些ISMS要素得到满足。

1.1.2 建立信息安全管理机构

1) 信息安全管理机构的名称  

标准没有规定信息安全管理机构的名称，因此名称并不重要。从目前的情况看，许多组织在建立ISMS之前，已经运行了其它的管理体系，如QMS和EMS等。因此，最有效与节省资源的办法是将信息安全管理机构合并于现有管理体系的管理机构，实行一元化领导。

2) 信息安全管理机构的级别  

信息安全管理机构的级别应根据组织的规模和复杂性而决定。从管理效果看，对于中等以上规模的组织，最好设立三个不同级别的信息安全管理机构：

a) 高层：以总经理或管理者代表为领导，确保信息安全工作有一个明确的方向和提供管理承诺和必要的资源。

b) 中层：负责该组织日常信息安全的管理与监督活动。

c) 基层：基层部门指定一位兼职的信息安全检查员，实施对其本部门的日常信息安全监视和检查工作。

1.1.3 执行标准要求的ISMS建立过程

按照ISO/IEC 27001:2005“4.2.1建立ISMS ” 条款的要求，建立ISMS的步骤包括：

1) 定义ISMS的范围和边界，形成ISMS的范围文件；

2) 定义ISMS方针（包括建立风险评价的准则等）,形成ISMS方针文件；

3) 定义组织的风险评估方法；

4) 识别要保护的信息资产的风险，包括识别：

a） 资产及其责任人；

b） 资产所面临的威胁；

c） 组织的脆弱点；

d） 资产保密性、完整性和可用性的丧失造成的影响。

5) 分析和评价安全风险，形成《风险评估报告》文件，包括要保护的信息资产清单；

6) 识别和评价风险处理的可选措施，形成《风险处理计划》文件；

7) 根据风险处理计划，选择风险处理控制目标和控制措施，形成相关的文件；

8) 管理者正式批准所有残余风险；

9) 管理者授权ISMS的实施和运行；

10) 准备适用性声明。

1.1.4 完成所需要的ISMS文件

ISMS文件是ISMS的主要要素，既要与ISO/IEC 27001:2005保持一致，又要符合本组织的信息安全的需要。实际上，ISMS文件是本组织“度身定做”的适合本组织需要的实际的信息安全管理标准，是ISO/IEC 27001:2005的具体体现。对一般员工来说，在其实际工作中，可以不过问国际信息安全管理标准-ISO/IEC 27001:2005，但必须按照ISMS文件的要求执行工作。

(1) ISMS文件的类型

根据ISO/IEC 27001:2005标准的要求，ISMS文件有三种类型。

1) 方针类文件（Policies）

方针是政策、原则和规章。主要是方向和路线上的问题，包括：

a） ISMS方针（ISMS policy）；

b） 信息安全方针（information security policy）。

2) 程序类文件（Procedures）

3) 记录（Records）

记录是提供客观证据的一种特殊类型的文件。通常, 记录发生于过去，是相关程序文件运行产生的结果（或输出）。记录通常是表格形式。

4) 适用性声明文件（Statement of Applicability, 简称SOA）

ISO/IEC 27001:2005标准的附录A提供许多控制目标和控制措施。这些控制目标和控制措施是最佳实践。对于这些控制目标和控制措施，实施ISMS的组织只要有正当性理由，可以只选择适合本组织使用的那些部分，而不适合使用的部分，可以不选择。选择，或不选择，要做出声明（说明），并形成《适用性声明》文件。

(2) 必须的文件  

“必须的ISMS文件”是指ISO/IEC 27001:2005“4.3.1总则”明确规定的，一定要有的文件。这些文件就是所谓的强制性文件（mandatory documents）。“4.3.1总则”要求ISMS文件必须包括9方面的内容：

1) ISMS方针 

ISMS方针是组织的顶级文件，规定该组织如何管理和保护其信息资产的原则和方向，以及各方面人员的职责等。

2) ISMS的范围

3) 支持ISMS的程序和控制措施；

4) 风险评估方法的描述；

5) 风险评估报告；

6) 风险处理计划；

7) 控制措施有效性的测量程序；

8) 本标准所要求的记录；

9) 适用性声明。

(3) 可选的文件  

除了上述必须的文件外，组织可以根据其实际的业务活动和风险的需要，而确定某些文件（包括某些程序文件和方针类文件）。这些文件就是所谓的可选的文件（Discretionary documents）。这类文件的内容可随组织的不同而有所不同，主要取决于:

1) 组织的业务活动及风险；

2) 安全要求的严格程度；

3) 管理的体系的范围和复杂程度。

这里，需要特别提出的是，ISMS的特点之一是风险评估和风险管理。组织需要哪些ISMS文件及其复杂程度如何，通常可根据风险评估决定。如果风险评估的结果，发现有不可接受的风险，那么就应识别处理这些风险的可能方法，包括形成相关文件。

(4) 文件的符合性  

ISMS文件的符合性包括符合相关法律法规的要求、符合ISO/IEC 27001:2005标准4-8章的所有要求和符合本组织的实际要求。为此：

1) 参考相关法律法规要求和标准要求

在编写ISMS文件时，编写者应参考相关法律法规要求和标准的相应条款的要求，例如，在编写ISMS方针时，要参考ISO/IEC 27001 “4.2.1b） 定义ISMS方针”；编写适用性声明时，要参考ISO/IEC 27001 “4.2.1 j） 准备适用性声明”；编写文件控制程序时，要参考ISO/IEC 27001 “4.3.2文件控制”等等。

2) 将本组织的最好实践形成文件

为了易于操作，编写者最好把本组织当前的最好实践写下来，补充标准的要求，形成统一格式的文件。

3) 保持一致性

a） 同一个文件中，上下文不能有不一致或矛盾的地方

b） 同一个体系的不同文件之间不能有矛盾的地方

c）  不同体系的文件之间不能有不一致的地方

如果组织同时运行多个管理体系，例如质量管理体系（QMS）、环境管理体系（EMS）和ISMS等，那么各个体系的文件之间应相互协调，避免产生不一致的地方。此外，在文字的表达上，应准确，无二义