第七，信息安全風險評估。
目的:實施風險評估，識別不可接受的風險，明確管理目標；

風險評估是整個風險管理的基礎，這一階段將按照預先規劃的風險評估方法進行。

 

包括:
(1)根據業務要求和信息的密度劃分，判斷信息資產的重要性，識別對關鍵核心業務起關鍵作用的信息資產清單；從內部和外部識別重要信息資產的威脅；

②根據威脅，從管理和技術上識別重要信息資產的薄弱環節；

③根據風險評估方法指南，評估威脅利用弱點對重要信息資產風險的保密性、完整性和可用性的影響；評估威脅利用弱點引發安全風險事件的可能性；

④根據風險影響和可能性評估風險等級；

⑤根據信息安全政策和各核心業務流程的安全要求，與管理層溝通，確定不能接受風險等級的標準；

⑥針對不可接受的高風險，制定風險處理計劃，根據ISO27002和咨詢師的行業經驗選擇合適的風險控制措施；實施選擇的控制措施，降低、轉移或消除安全風險；

⑦寫風險評估報告。
ISMS系統中的文件編寫。

目的:建立文件信息安全管理體系。

內容:根據文件系統規劃結果，編制信息安全管理系統文件

 

包括:
(1)整合信息安全管理系統手冊，明確每個管理過程的順序和相互關系；

②整合信息安全管理系統要求的程序文件，從系統維護管理、資產管理、物理環境安全、人力資源安全、訪問控制、通信運營管理、業務連續管理、信息安全事件管理、符合性等方面對各種管理活動和操作指導進行文件化；

③制定各種安全策略，如電子郵件策略、互聯網訪問策略、訪問控制策略等。

 

第九，ISMS管理系統記錄設計。
目的:設計科學的信息安全管理系統記錄，確保各管理過程的可控性和可追溯性。

內容:根據各管理流程和文件對管理流程的記錄要求，設計記錄表格式。

 

 

包括:
②收集原有的管理記錄；

②優化記錄或重新設計；

③溝通記錄的形式和填寫管理記錄的必要性，確保信息安全管理系統的可控性與記錄數量之間的平衡。

 

ISMS管理系統中的文件審核。
目的:確保ISMS信息安全管理系統文件的系統性、有效性和效率。

內容:評估信息安全管理系統文件。

 

包括:
(1)比較風險評估結果，比較核心業務流程，比較程序文件和操作指導書的系統性；

②對于每個具體的管理流程，審核文件中描述的管理職責和活動是否符合實際情況，流程負責人是否可以按照文件要求執行管理活動；

③根據文件要求的管理活動，審查其效率是否符合管理要求；形成文件審查的結論，并通過管理層的批準修改文件，形成發稿件。