BS7799-2:1999标准要求组织建立并保持一个文件化的信息安全管理体系,其中应阐述需要保护的资产、组织风险管理的渠道、控制目标及控制方式和需要的保证程度。
信息安全管理体系建立和运行步骤:
1、 制定信息安全方针;
2、 明确信息安全管理体系的范围,根据组织的特性、地理位置、资产和技术来确定界限;
3、 实施适宜的风险评估,识别资产所受到的威胁、薄弱环节和对组织的影响,并确定风险程度;
4、 根据组织的信息安全方针和需要的保证程度来确定应实施管理的风险;
5、 从BS7799-2的第四部分“控制细则”中选择适宜的控制目标和控制方式(从36个目标,127种控制方式中选择);控制目标和控制方式的选择可以参考BS7799-1:1999《 信息安全管理体系实施细则》标准,如果标准中没有的控制目标和控制方式,组织可以也应选择一些其它适宜的控制方式。
6、 制定可用性声明,将控制目标和控制方式的选择和选择理由文件化,并注明未选择BS7799-2 :1999第四部分中的任何内容及其理由;
7、 有效地实施选定的控制目标和控制方式;
8、 进行内部审核和管理评审,保证体系的有效实施和持续适宜。
