ISO27001信息安全管理框架的建设只是
建设信息安全管理体系ISMS的第一步。在具体实施ISO27001信息安全管理体系的过程中,还必须充分考虑其他方面的因素,如实施的各项费用因素(培训费、报告费等)、与组织员工原有工作习惯的冲突、不同部门/机构之间在实施过程中的相互协作问题等。
组织要按照所选择的控制目标和控制方式进行有效的安全控制,即按照策略、程序等要求展开信息处理、安全管理等各项活动。实施的有效性包括两方面的含义,一是控制活动应严格按要求执行;二是活动的结果应达到预期的目标要求,即风险控制的结果是可接受的。
文档化
在信息安全管理体系ISMS构建和实施的过程中,还必须建立起各种相关的文档、文件,如ISMS管理范围中所规定的文档内容、对管理框架的总结、在信息安全管理体系ISMS管理范围内规定的管制采取过程、信息安全管理体系ISMS管理和具体操作的过程等。文档可以以各种形式进行保存,但必须划分为不同的等级和类型。同时,为了今后信息安全认证工作的顺利进行,文档还必须能够非常容易地被指定的第三方访问和理解。如下图所示:
《信息安全管理体系的文档层次结构图》
在建立起各种文档之后,组织还必须对它进行严格的管理,并结合组织业务和规模的变化,对文档进行有规律、周期性的回顾和修正。当某些文档不再适合组织的信息安全策略需求时,就必须将其废止。
记录
组织应对实施ISO27001信息安全管理体系ISMS过程中发生的各种与信息安全有关的事件进行全面记录。安全事件的记录对高效实现信息安全管理体系ISMS具有很重要的作用,它为组织进行信息安全策略的定义、安全管理措施的选择与修正等提供了现实的依据。安全事件记录还必须清晰,并进行适当保存以及加以维护,使得当记录被破坏、损坏或丢失时能够容易得到挽救。