1.建立ISMS
组织应根据业务、组织、位置、资产和技术等方面的特性,确定ISMS的范围和边界, 包括对范围任何册0减的详细说明和正当性理由。一般lSMs的范围可以包括全组织或组织中若干个部门或分支,特殊情况下也可以针对组织的某些具体业务流程(女吨子商务、电子政务、智能制造等)确定ISMS的范围边界。一旦确定后必须以正式文件形式加以记录和发布。
组织应根据业务、组织、位置、资产和技术等方面的特性,确定ISMS方针。ISMS方针应:1)包括设定目标的框架和建立信息安全工作的总方向和原则;2)考虑业务和法律法规的要求,及合同中的安全义务;3)在组织的战略性风险管理环境下,建立和保持ISMS;4)建立风险评价的准则;5)获得管理者批准。ISMS方针也被认为是信息安全方针的一个扩展集。这些方针应该在一个正式文件(信息安全方针或信息安全管理体系手册)中进行描述。
组织应确定组织的风险评估方法:包括识别适合ISMS、已识别的业务信息安全和法律法规要求的风险评估方法;制定接受风险的准则和风险评估方法(定性化风险评估、定量化风险评估、半定量风险评估等),由管理者代表确定可接受的风险级别。选择的风险评估方法应确保风险评估产生可比较的和可再现的结果。