第七，信息安全風(fēng)險評估。
目的:實(shí)施風(fēng)險評估，識別不可接受的風(fēng)險，明確管理目標；

風(fēng)險評估是整個(gè)風(fēng)險管理的基礎，這一階段將按照預先規劃的風(fēng)險評估方法進(jìn)行。

 

包括:
(1)根據業(yè)務(wù)要求和信息的密度劃分，判斷信息資產(chǎn)的重要性，識別對關(guān)鍵核心業(yè)務(wù)起關(guān)鍵作用的信息資產(chǎn)清單；從內部和外部識別重要信息資產(chǎn)的威脅；

②根據威脅，從管理和技術(shù)上識別重要信息資產(chǎn)的薄弱環(huán)節；

③根據風(fēng)險評估方法指南，評估威脅利用弱點(diǎn)對重要信息資產(chǎn)風(fēng)險的保密性、完整性和可用性的影響；評估威脅利用弱點(diǎn)引發(fā)安全風(fēng)險事件的可能性；

④根據風(fēng)險影響和可能性評估風(fēng)險等級；

⑤根據信息安全政策和各核心業(yè)務(wù)流程的安全要求，與管理層溝通，確定不能接受風(fēng)險等級的標準；

⑥針對不可接受的高風(fēng)險，制定風(fēng)險處理計劃，根據ISO27002和咨詢(xún)師的行業(yè)經(jīng)驗選擇合適的風(fēng)險控制措施；實(shí)施選擇的控制措施，降低、轉移或消除安全風(fēng)險；

⑦寫(xiě)風(fēng)險評估報告。
ISMS系統中的文件編寫(xiě)。

目的:建立文件信息安全管理體系。

內容:根據文件系統規劃結果，編制信息安全管理系統文件

 

包括:
(1)整合信息安全管理系統手冊，明確每個(gè)管理過(guò)程的順序和相互關(guān)系；

②整合信息安全管理系統要求的程序文件，從系統維護管理、資產(chǎn)管理、物理環(huán)境安全、人力資源安全、訪(fǎng)問(wèn)控制、通信運營(yíng)管理、業(yè)務(wù)連續管理、信息安全事件管理、符合性等方面對各種管理活動(dòng)和操作指導進(jìn)行文件化；

③制定各種安全策略，如電子郵件策略、互聯(lián)網(wǎng)訪(fǎng)問(wèn)策略、訪(fǎng)問(wèn)控制策略等。

 

第九，ISMS管理系統記錄設計。
目的:設計科學(xué)的信息安全管理系統記錄，確保各管理過(guò)程的可控性和可追溯性。

內容:根據各管理流程和文件對管理流程的記錄要求，設計記錄表格式。

 

 

包括:
②收集原有的管理記錄；

②優(yōu)化記錄或重新設計；

③溝通記錄的形式和填寫(xiě)管理記錄的必要性，確保信息安全管理系統的可控性與記錄數量之間的平衡。

 

ISMS管理系統中的文件審核。
目的:確保ISMS信息安全管理系統文件的系統性、有效性和效率。

內容:評估信息安全管理系統文件。

 

包括:
(1)比較風(fēng)險評估結果，比較核心業(yè)務(wù)流程，比較程序文件和操作指導書(shū)的系統性；

②對于每個(gè)具體的管理流程，審核文件中描述的管理職責和活動(dòng)是否符合實(shí)際情況，流程負責人是否可以按照文件要求執行管理活動(dòng)；

③根據文件要求的管理活動(dòng)，審查其效率是否符合管理要求；形成文件審查的結論，并通過(guò)管理層的批準修改文件，形成發(fā)稿件。