如何建立信息安全管理体系(ISMS)

，缺一不可。否则“体系”或“系统”就会受破坏、瘫痪，而不能工作或运行。例如，计算机系统(Computer System)是由相互依赖的硬件和软件组成。如果硬件或软件受破坏，该计算机系统就不能正常运行。
此外，“体系”或“系统”是可分级的，即有上级和下级之分。系统的上级称为上级系统。其下级称为子系统。

(2)  ISMS的含义

    在ISO/IEC 27001标准中，已对ISMS做出了明确的定义。通俗地说，组织有一个总管理体系，ISMS是这个总管理体系的一部分，或总管理体系的一个子体系。ISMS的建立是以业务风险方法为基础，其目的是建立、实施、运行、监视、评审、保持和改进信息安全。
    如果一个组织有多个管理体系，例如包括ISMS、QMS(质量管理体系) 和EMS(环境管理体系) 等，那么这些管理体系就组成该组织的总管理体系，而每一个管理体系只是该组织总管理体系中的一个组分，或一个子管理体系。各个子管理体系必须相互配合、协调一致地工作，才能实现该组织的总目标。

(3)  ISMS的要素

标准还指出，管理体系包括“组织的结构、方针、规划活动、职责、实践、程序、过程和资源”(见ISO/IEC 27001:2005 3.7)。这些就是构成管理体系的相互依赖、协调一致，缺一不可的组分或要素。我们将其归纳后，ISMS的要素要包括：

1)  信息安全管理机构
    通过信息安全管理机构，可建立各级安全组织、确定相关人员职责、策划信息安全活动和实践等。
2)  ISMS文件
    包括ISMS方针、过程、程序和其它必须的文件等。
3)  资源
    包括建立与实施ISMS所需要的合格人员、足够的资金和必要的设备等。
ISMS的建立要确保这些ISMS要素得到满足。

2. 建立信息安全管理机构 

(1) 为什么需要信息安全管理机构?

    系统 (或体系)可有“天然系统”和“人工系统”之分。ISMS是一个人工系统，需要管理机构组织人力建成。ISMS建成后，如果没有管理机构组织人员管理(包括分配合理的资源、监控和采取适当的控制措施等)ISMS不可能运行。ISMS也不可能是一个“永动机”，如果不能不断地从管理机构获取能源(包括人财物)，