如何建立信息安全管理体系(ISMS)信息是所有组织赖以生存和发展的最有价值的资产之一，犹如维持生命所必须的血液。

然而，在当今激烈竞争的商业环境下，作为组织生命血液的信息总是受到多方面的威胁和风险。

这些威胁可能来自内部，也可能来自外部，可能是无意的，也可能是恶意的。

随着信息的储存、传输和检索新技术的不断涌现，许多组织感到面对各种威胁防不胜防，犹如敞开了大门。

组织的业务目标和信息安全要求紧密相关。

实际上，任何组织成功经营的能力在很大程度上取决于其有效地管理其信息安全风险的才干。

因此，如何确保信息安全已是各种组织改进其竞争能力的一个新的挑战任务。

组织建立一个基于ISO/IEC 27001:2005标准的信息安全管理体系(Information Security Management System,以下简称ISMS)，已成为时代的需要。

本文从简单分析ISO/IEC 27001:2005标准的要求入手，论述建立一个符合该标准要求的ISMS。

1. 正确理解ISMS的含义和要素ISMS创建人员只有正确地理解ISMS的含义、要素和ISO/IEC 27001标准的要求之后，才有可能建立一个符合要求的完善的ISMS。

因此，本节先对ISMS的含义和要素用通俗易懂的语言，做出解释。

(1) “体系”的含义“信息安全管理体系”(Information Security Management System)中的“体系”来自英文“System”。

“System”当然可翻译为“体系”，但通常的译文应是“系统”。

同样，“Management System” 当然可翻译为“管理体系”，但通常也翻译为“管理系统”。

例如在计算机领域中，一个十分常见的术语“Database Management Sys tem”，被普遍公认地翻译为“数据库管理系统”(简称DBMS)，而几乎没有人将其翻译为“数据库管理体系”。

很显然，如果把ISMS翻译为“信息安全管理系统”，也未尝不可。

实际上，“体系”和“系统”的含义都一样：由若干个为实现共同目标而相互依赖、协调工作的部件（或组分）组成的统一体。

这些组成“体系”或“系统”的部件也称“要素”(Element)。

组成“体系”或“系统”的这些要素相互依赖，缺一不可。

否则“体系”或“系统”就会受破坏、瘫痪，而不能工作或运行。

例如，计算机系统(Computer System)是由相互依赖的硬件和软件组成。

如果硬件或软件受破坏，该计算机系统就不能正常运行。

此外，“体系”或“系统”是可分级的，即有上级和下级之分。

系统的上级称为上级系统。

其下级称为子系统。

(2) ISMS的含义在ISO/IEC 27001标准中，已对ISMS做出了明确的定义。

通俗地说，组织有一个总管理体系，ISMS 是这个总管理体系的一部分，或总管理体系的一个子体系。

ISMS的建立是以业务风险方法为基础，其目的是建立、实施、运行、监视、评审、保持和改进信息安全。

如果一个组织有多个管理体系，例如包括ISMS、QMS(质量管理体系) 和EMS(环境管理体系) 等，那么这些管理体系就组成该组织的总管理体系，而每一个管理体系只是该组织总管理体系中的一个组分，或一个子管理体系。

各个子管理体系必须相互配合、协调一致地工作，才能实现该组织的总目标。

(3) ISMS的要素标准还指出，管理体系包括“组织的结构、方针、规划活动、职责、实践、程序、过程和资源”(见ISO/IEC 27001:2005 3.7)。

这些就是构成管理体系的相互依赖、协调一致，缺一不可的组分或要素。

我们将其归纳后，ISMS的要素要包括：1) 信息安全管理机构通过信息安全管理机构，可建立各级安全组织、确定相关人员职责、策划信息安全活动和实践等。

2) ISMS文件包括ISMS方针、过程、程序和其它必须的文件等。

3) 资源包括建立与实施ISMS所需要的合格人员、足够的资金和必要的设备等。

ISMS的建立要确保这些ISMS要素得到满足。

2. 建立信息安全管理机构(1) 为什么需要信息安全管理机构?系统(或体系)可有“天然系统”和“人工系统”之分。

ISMS是一个人工系统，需要管理机构组织人力建成。

ISMS建成后，如果没有管理机构组织人员管理(包括分配合理的资源、监控和采取适当的控制措施等)ISMS不可能运行。

ISMS也不可能是一个“永动机”，如果不能不断地从管理机构获取能源(包括人财物)，其运行也会慢慢停止下来。

当今，社会上存在的常见问题是：某些组织建设管理体系的主要目的是为了取得认证证书，一旦取得证书，对管理体系的管理工作就松懈下来，相关的体系管理机构不健全，甚至被取消了，或者有名无实了。

这样的管理体系不太可能获得好效益。

(2) 如何组建信息安全管理机构？1) 信息安全管理机构的名称标准没有规定信息安全管理机构的名称，因此名称并不重要。

从目前的情况看，许多组织在建立ISMS之前，已经运行了其它的管理体系，如QMS和EMS等。

因此，最有效与省资源的办法是将信息安全管理机构合并于现有管理体系的管理机构，实行一元化领导。

2) 信息安全管理机构的级别信息安全管理机构的级别应根据组织的规模和复杂性而决定。

从管理效果看，对于中等以上规模的组织，最好设立三个不同级别的信息安全管理机构：a) 高层以总经理或管理者代表为领导，确保信息安全工作有一个明确的方向和提供管理承诺和必要的资源。

b) 中层负责该组织日常信息安全的管理与监督活动。

c) 基层基层部门指定一位兼职的信息安全检查员，实施对其本部门的日常信息安全监视和检查工作。

3. 执行标准要求的ISMS建立过程在ISO/IEC 27001:2005标准“4.2.1建立ISMS” 条款中，已经规定了ISMS的建立内容和步骤。

组织要遵照这些内容和步骤，结合其总体业务活动和风险的需要，而建立其自己的ISMS，并形成相应的ISMS文件。

(1) 正确理解标准的要求ISO/IEC 27001:2005“4.2.1 Establish the ISMS”(4.2.1建立ISMS) 条款，有10条强制性要求(见4.2.1 a-j)。

由于在英文标准中，这些要求都通过使用一个英语词“shall”引出，因此，BSI(英国标准研究院)把这些“强制性要求”称为“shall” 要求(“shall” Requirements) 。

这意味着，凡是跟在“shall”后面的要求都是ISMS必须完全满足的命令式的要求。

这10条强制性要求既是10个过程或活动，也可作为ISMS建立的10个步骤。

(2) 遵照标准要求的ISMS建立步骤按照ISO/IEC 27001:2005“4.2.1建立ISMS ” 条款的要求，建立ISMS的步骤包括：1) 定义ISMS的范围和边界，形成ISMS的范围文件；2) 定义ISMS方针(包括建立风险评价的准则等),形成ISMS方针文件；3) 定义组织的风险评估方法；4) 识别要保护的信息资产的风险，包括识别：a）资产及其责任人；b）资产所面临的威胁；c）组织的脆弱点；d）资产保密性、完整性和可用性的丧失造成的影响。

5) 分析和评价安全风险，形成《风险评估报告》文件，包括要保护的信息资产清单；6) 识别和评价风险处理的可选措施，形成《风险处理计划》文件；7) 根据风险处理计划，选择风险处理控制目标和控制措施，形成相关的文件；8) 管理者正式批准所有残余风险；9) 管理者授权ISMS的实施和运行；10) 准备适用性声明。

4. 完成所需要的ISMS文件ISMS文件是ISMS的主要要素，既要与ISO/IEC 27001:2005保持一致，又要符合本组织的信息安全的需要。

实际上，ISMS文件是本组织“度身定做”的适合本组织需要的实际的信息安全管理标准，是ISO/IEC 27001:2005的具体体现。

对一般员工来说，在其实际工作中，可以不过问国际信息安全管理标准-ISO/IEC 27001:2005，但必须按照ISMS文件的要求执行工作。

(1) ISMS文件的类型根据ISO/IEC 27001:2005标准的要求，ISMS文件有三种类型。

1) 方针类文件（Policies）方针是政策、原则和规章。

主要是方向和路线上的问题，包括：a）ISMS方针(ISMS policy)；b）信息安全方针(information security policy)。

其中，ISMS方针是信息安全方针的父集。

即在ISMS方针的框架下，组织可根据实际需要，制定其它重要领域的具体的信息安全方针。

例如，可有访问控制方针、恶意软件防范方针、口令控制方针、网络安全方针、硬件设备安全方针等。

2) 程序类文件（Procedures）“程序文件”有时又称作“过程文件”,包含着为达到某个特定目的，而对一系列活动(或过程)的顺序进行控制。

有输入-处理-输出。

所产生的输出通常是“记录”。

3) 记录（Records）记录是提供客观证据的一种特殊类型的文件。

通常, 记录发生于过去，是相关程序文件运行产生的结果（或输出）。

记录通常是表格形式。

4) 适用性声明文件（Statement of Applicability, 简称SOA）ISO/IEC 27001:2005标准的附录A提供许多控制目标和控制措施。

这些控制目标和控制措施是最佳实践。

对于这些控制目标和控制措施，实施ISMS的组织只要有正当性理由，可以只选择适合本组织使用的那些部分，而不适合使用的部分，可以不选择。

选择，或不选择，要做出声明（说明），并形成《适用性声明》文件。

(2) 必须的文件“必须的ISMS文件”是指ISO/IEC 27001:2005“4.3.1总则”明确规定的，一定要有的文件。

这些文件就是所谓的强制性文件(mandatory documents)。

“4.3.1总则”要求ISMS文件必须包括9方面的内容：1) ISMS方针ISMS方针是组织的顶级文件，规定该组织如何管理和保护其信息资产的原则和方向，以及各方面人员的职责等。

2) ISMS的范围3) 支持ISMS的程序和控制措施；4) 风险评估方法的描述；5) 风险评估报告；6) 风险处理计划；7) 控制措施有效性的测量程序；8) 本标准所要求的记录；9) 适用性声明。

在实际工作中，上述内容经过归纳和整理后，可用以下文件表示：1) ISMS方针文件，包括ISMS的范围；2) 风险评估程序，包括“风险评估方法的描述”，而其运行的结果产生《风险评估报告》。

3) 风险处理程序，运行的结果产生《风险处理计划》。

4) 文件控制程序；5) 记录控制程序；6) 内部审核程序；7) 纠正措施与预防措施程序；8) 控制措施有效性测量程序9) 管理评审程序10) 适用性声明(3) 任意的文件除了上述必须的文件外，组织可以根据其实际的业务活动和风险的需要，而确定某些文件（包括某些程序文件和方针类文件）。