如何建立信息安全管理体系(ISMS)

其运行也会慢慢停止下来。  
当今，社会上存在的常见问题是：某些组织建设管理体系的主要目的是为了取得认证证书，一旦取得证书，对管理体系的管理工作就松懈下来，相关的体系管理机构不健全，甚至被取消了，或者有名无实了。这样的管理体系不太可能获得好效益。

(2) 如何组建信息安全管理机构？

1)   信息安全管理机构的名称  
    标准没有规定信息安全管理机构的名称，因此名称并不重要。从目前的情况看，许多组织在建立ISMS之前，已经运行了其它的管理体系，如QMS和EMS等。因此，最有效与省资源的办法是将信息安全管理机构合并于现有管理体系的管理机构，实行一元化领导。
2)   信息安全管理机构的级别
    信息安全管理机构的级别应根据组织的规模和复杂性而决定。从管理效果看，对于中等以上规模的组织，最好设立三个不同级别的信息安全管理机构：
a)  高层
    以总经理或管理者代表为领导，确保信息安全工作有一个明确的方向和提供管理承诺和必要的资源。
b)  中层
    负责该组织日常信息安全的管理与监督活动。
c)  基层
    基层部门指定一位兼职的信息安全检查员，实施对其本部门的日常信息安全监视和检查工作。

3. 执行标准要求的ISMS建立过程 

在ISO/IEC 27001:2005标准 “4.2.1建立ISMS” 条款中，已经规定了ISMS的建立内容和步骤。组织要遵照这些内容和步骤，结合其总体业务活动和风险的需要，而建立其自己的ISMS，并形成相应的ISMS文件。

(1) 正确理解标准的要求

    ISO/IEC 27001:2005“4.2.1 Establish the ISMS”(4.2.1建立ISMS) 条款，有10条强制性要求(见4.2.1 a-j)。由于在英文标准中，这些要求都通过使用一个英语词“shall”引出，因此，BSI(英国标准研究院)把这些“强制性要求”称为“shall” 要求 (“shall” Requirements) 。这意味着，凡是跟在“shall”后面的要求都是ISMS必须完全满足的命令式的要求。
这10条强制性要求既是10个过程或活动，也可作为ISMS建立的10个步骤。

(2) 遵