1. ISMS的PDCA持续改进模式

　　信息安全管理体系的构建遵循管理的一般循环模式：Plan(计划)、Do(实施)、Check(检查)、Action(改进)。第一步是策划,根据法律、法规的要求和组织内部的安全需求制定信息安全方针、策略,进行风险评估,确定风险控制目标与控制方式；第二步是按照所选择的控制目标与控制方式进行信息安全管理实施；第三步是在实践中检查上述制定的安全目标是否合适、控制手段是否能够保证安全目标的实现,系统还有哪些漏洞；最后，采取相应的措施对系统进行改进。

　　2.风险评估的过程和方法

　　在ISMS的构建过程中，风险评估的工作占了很大比例，评估的结果将直接影响到安全控制的合理选择。下面讨论风险评估的过程和方法。

　　风险是特定威胁事件发生的可能性与后果的结合。足以成为风险的事件有三个组成部分：威胁、系统脆弱性、事件造成的影响。一般而言这三个因素必须同时存在才构成安全风险。风险评估的过程如下：

　　第一步是资产识别与估价，在现状调查的基础上识别需要保护的信息资产，其中可能包括硬件、软件、数据、文档、服务等，并评价各个资产的价值，采用精确的财务方式给资产估价有时候比较困难，一般按照事先确定的价值尺度将资产的价值划分为不同的等级，如可以分为价值非常关键、价值较高、价值中等、价值较低、价值可以忽略五个等级，并为不同的等级赋值。

　　第二步脆弱点识别与评价，脆弱点是指资产中被威胁利用的弱点，脆弱点和资产紧密相连，它可能被威胁利用，引起资产损失或破坏。确定了系统脆弱点后，就需要针对每个脆弱点分析由此产生的安全威胁，并对脆弱点的严重性进行评价，即对脆弱点被威胁利用的可能性进行评价。脆弱点被威胁利用的可能性还跟已有的控制手段有关，采取有效的安全控制可以降低脆弱点被威胁利用的可能性以及减少薄弱点。

　　第三步威胁识别与评价，安全威胁是一种对系统、组织及其资产构成潜在破坏能力的可能性因素或事件。威胁识别可根据资产所处的环境条件和资产以前遭受的威胁损坏情况来判断。安全威胁和脆弱点相关，安全威胁的发生正是利用了系统的脆弱点。对威胁的评价包括威胁发生的可能性和威胁潜在影响。

　　对脆弱点和安全威胁的可能性进行估算比较困难，主要采用定性分析和定量分析相结合，如可能性大小可以采取分级赋值和概率统计的方法将定性分析转变为定量分析，概率统计方法分析的数据主要是操作日志，局部犯罪的统计和用户的投诉，如威胁的可能性大小的分析表如表1所示。

　　威胁的潜在影响I=资产的相对价值V×价值损失程度C，其中C表示资产损失的百分比，即安全威胁I对资产的影响程度，它的值可以通过估算求得，也可以通过分级赋值求得。

　　第四步是安全风险的评价，安全风险R是利用了脆弱点的特定威胁事件发生的可能性与后果的结合，表示为：安全风险R=威胁发生的可能性×薄弱点被威胁利用的可能性×威胁的潜在影响I。风险分析的整个过程如图1所示。

　　3. ISMS的构建过程

　　一个组织建立和实施ISMS大致包括以下三个阶段：第一阶段是需求分析和计划；第二阶段是ISMS文件的编制；第三阶段是运行、审核和改进。

　　(1)需求分析和计划

　　根据组织的具体情况，识别和确定信息安全需求是建立和实施ISMS的前提，主要包括三个方面：一是法律法规与合同要求；二是风险分析的结果；三是组织已有的原则、目标和要求。信息安全需求是组织建立ISMS的依据。

　　需求明确后开始计划和设计ISMS。包括制订信息安全方针、明确ISMS范围、开展信息安全风险评估和风险管理，明确信息安全组织机构与职责、选择控制目标与控制方式等，其中风险评估和风险管理是重要内容。

　　(2)信息安全管理体系文件的编制

　　与质量管理体系类似，BS7799要求建立文件化的管理体系，ISMS文件包括信息安全方针和适用性声明、安全管理手册、程序文件、作业指导性文件和记录。对ISMS文件还要进行管理和控制，另外文件本身也属于信息资产，其中含有敏感信息，应确定其密级进行保护。文件化应该贯穿信息安全管理过程的始终，文件化有许多好处，一方面使组织在实现信息安全的过程中有据可查；另一方面也便于组织员工之间的沟通，为学习和培训提供依据。

　　(3)运行、审核和改进

　　ISMS文件编制完成以后，信息安全组织应该按照文件的控制要求组织实施ISMS。在体系运行初期，组织应该进行有关方针、程序、标准和法律法规的符合性检查，对存在的问题，如体系设计不周，项目不全等进行协调，改进。信息安全是动态的，实现信息安全的目标是一个不断循环的过程。组织内部成功实施信息安全管理的关键因素包括：适宜的信息安全方针、目标、活动和安全管理方法；管理层的支持和员工的安全意识及适当的教育培训；对安全需求、风险评估和风险管理的良好理解；评价信息安全管理绩效及反馈改进建议的体系。