第七，信息安全風險評估。
目的:實施風險評估，識別不可接受的風險，明確管理目標；

風險評估是整個風險管理的基礎(chǔ)，這一階段將按照預先規(guī)劃的風險評估方法進行。

 

包括:
(1)根據(jù)業(yè)務(wù)要求和信息的密度劃分，判斷信息資產(chǎn)的重要性，識別對關(guān)鍵核心業(yè)務(wù)起關(guān)鍵作用的信息資產(chǎn)清單；從內(nèi)部和外部識別重要信息資產(chǎn)的威脅；

②根據(jù)威脅，從管理和技術(shù)上識別重要信息資產(chǎn)的薄弱環(huán)節(jié)；

③根據(jù)風險評估方法指南，評估威脅利用弱點對重要信息資產(chǎn)風險的保密性、完整性和可用性的影響；評估威脅利用弱點引發(fā)安全風險事件的可能性；

④根據(jù)風險影響和可能性評估風險等級；

⑤根據(jù)信息安全政策和各核心業(yè)務(wù)流程的安全要求，與管理層溝通，確定不能接受風險等級的標準；

⑥針對不可接受的高風險，制定風險處理計劃，根據(jù)ISO27002和咨詢師的行業(yè)經(jīng)驗選擇合適的風險控制措施；實施選擇的控制措施，降低、轉(zhuǎn)移或消除安全風險；

⑦寫風險評估報告。
ISMS系統(tǒng)中的文件編寫。

目的:建立文件信息安全管理體系。

內(nèi)容:根據(jù)文件系統(tǒng)規(guī)劃結(jié)果，編制信息安全管理系統(tǒng)文件

 

包括:
(1)整合信息安全管理系統(tǒng)手冊，明確每個管理過程的順序和相互關(guān)系；

②整合信息安全管理系統(tǒng)要求的程序文件，從系統(tǒng)維護管理、資產(chǎn)管理、物理環(huán)境安全、人力資源安全、訪問控制、通信運營管理、業(yè)務(wù)連續(xù)管理、信息安全事件管理、符合性等方面對各種管理活動和操作指導進行文件化；

③制定各種安全策略，如電子郵件策略、互聯(lián)網(wǎng)訪問策略、訪問控制策略等。

 

第九，ISMS管理系統(tǒng)記錄設(shè)計。
目的:設(shè)計科學的信息安全管理系統(tǒng)記錄，確保各管理過程的可控性和可追溯性。

內(nèi)容:根據(jù)各管理流程和文件對管理流程的記錄要求，設(shè)計記錄表格式。

 

 

包括:
②收集原有的管理記錄；

②優(yōu)化記錄或重新設(shè)計；

③溝通記錄的形式和填寫管理記錄的必要性，確保信息安全管理系統(tǒng)的可控性與記錄數(shù)量之間的平衡。

 

ISMS管理系統(tǒng)中的文件審核。
目的:確保ISMS信息安全管理系統(tǒng)文件的系統(tǒng)性、有效性和效率。

內(nèi)容:評估信息安全管理系統(tǒng)文件。

 

包括:
(1)比較風險評估結(jié)果，比較核心業(yè)務(wù)流程，比較程序文件和操作指導書的系統(tǒng)性；

②對于每個具體的管理流程，審核文件中描述的管理職責和活動是否符合實際情況，流程負責人是否可以按照文件要求執(zhí)行管理活動；

③根據(jù)文件要求的管理活動，審查其效率是否符合管理要求；形成文件審查的結(jié)論，并通過管理層的批準修改文件，形成發(fā)稿件。