ISMS的规划

SO 27001将信息安全管理体系的规划分为4个部分。

在组织层次上，要准备ISMS文件，文件中要有对ISMS的背景、范围以及它的运营政策方面的记录。该文件是ISMS与组织高层管理人员之间的一个界面。文件的制订要在理事会的全力支持下进行，它反映了理事会对信息安全管理的态度。

ISMS文件定义了：

组织的信息安全政策，这一政策通过确定组织信息安全的总体方向启动了编制文件的过程。

适用性声明，该声明通过细化组织对它所定义的ISMS的实施宣告编制文件过程的结束。

在这两者之间是建立ISMS的艰苦工作。我们首先叙述信息安全政策的要求，然后再叙述适用性声明。

信息安全政策

信息安全政策应该包括管理层对信息安全的承诺及意图的清楚表述，该表述要与组织的企业目标以及所有的法律法规相符合。它要简要地解释在建立ISMS时在有关安全政策、原则(包括OECD的指导原则)、标准、合规要求、组织的安全学习、职责和动机、业务连续性和事件报告等方面所做出的选择。它要给出评价信息资产面临的安全风险的标准。它支持ISMS并对过程的可追踪性和可重复性很有帮助。

信息安全政策记载了信息安全对于组织的意义，包含了信息安全的界限、背景、范围和安全目标。它应该定义出组织对风险评估——对违反某一资产安全要求的可能性与影响做出评价的过程——系统思维的框架，还应该定义哪些属于可接受风险以及应该如何降低不可接受的风险。

信息安全政策应该以容易理解的方式写成，并引起所有那些行为受到ISMS辖制的人的注意，或者，更普遍一些，引起所有会受到ISMS影响的人的注意。

一个外部的评估人也会希望从信息安全政策中理解信息安全对组织所具有的意义，这一意义反映在安全政策、原则、标准、合规要求等会影响组织信息安全思维的那些方面。一个外部的评估人希望了解：

设计ISMS的目的是要应对哪些法律、法规和合同方面的要求。

ISMS将如何在组织中传播。

有关个人的职责以及对信息安全事件的报告结构。

违反信息安全政策的后果。

信息安全政策检查

信息安全政策将定义对ISMS——包括信息安全政策本身——进行管理检查的安排，以确保组织环境、业务情况、法律条件或者技术环境方面的变化不会降低ISMS的适用性、充分性以及/或者有效性。

资产识别、风险评估和风险处理

为了标准起见，一个组织的特征被归为它所处的业务或服务领域、它的位置、它的资产以及它的技术。这些变量决定了组织所面临的信息安全威胁。ISMS的背景也就是受保护的部分与组织中的其他部分以及企业环境所具有的关系。在ISMS的背景下，ISMS的范围决定了需要被ISMS保护的信息资产。

在定义了信息安全政策之后，有三项任务可以开始启动，这三项任务要在所有在ISMS背景和范围内的组织部门中依次开展：

资产识别。

风险评估。

风险处理。

图5.2显示了不同阶段的任务构成。