1. 什麼是ISMS?

(1) 概述和原則

(2) 信息

(3) 信息安全

(4) 管理

(5) 管理系統

2. 過程方法

3. 為什麼ISMS重要

4. 建立、監控、維護和改進ISMS

4.5.1 整體來看

組織應該做這幾步來建立，監視，維護和提高信息安全管理：

a) 確認信息資產和相關的信息安全需求。 Remark: 怎樣確認信息資產和信息安全需求？

b) 資產信息安全風險和安全風險處理。

c) 選擇並實施相關的控制來管理不可接受的風險。

d) 檢測、維護和提高控制的有效性，針對組織信息資產。

4.5.2 確認信息安全需求

在組織的總體戰略和業務目標、規模和地理分佈范圍內，可以通過理解以下內容來確定信息安全要求：

a) 確認信息資產和它的價值

b) 信息處理，存儲和交互的商業需求

c) 法律，常識和合同需求

對與組織信息資產相關的風險進行系統評估，包括分析信息資產面臨的威脅、信息資產面臨威脅的脆弱性和可能性，以及任何信息安全事件對信息資產的潛在影響。相關控制的支出預計將於實際風險對業務的影響成比例。

4.5.3 評估信息安全風險

管理信息安全風險需要持續的風險評估和風險處理方法，包括花費和效果估算，法律需求，股東的想法和其他輸入和價值。

風險評估應該確認，定量並給風險做優先級針對風險接受標準和組織相關目標。結果應該制定和判定適當的管理方式和信息安全風險等級，用來實施對風險實施控制。

風險評估應該包括：

- 評估風險大小的系統方法（風險分析）

- 將評估的風險與風險標準進行比較以確定風險重要性的過程（風險評估）。

ISO27005 提供信息安全風險管理指導，包括風險評估建議，風險處理，接受風險，風險報告，風險監控和風險審查。包括風險評估方法學的例子。

4.5.4 處理信息安全風險

在考慮風險處理之前，組織應確定是否可以接受風險的標準。風險可以接受，舉例，風險花費很低或者對組織來說不需要花什麼錢。

根據風險評估後判定的風險，需要做風險處理決定。對於風險處理可能有下面的選項：

a) 執行適當的控制減少風險。

b) 瞭解可接受風險，為組織提供清晰滿意的政策和標準用於接受風險。

c) 允許的行為來避免風險發生。

d) 將相關風險分擔給其他方，例如保險公司或供應商。

（處理風險更多是根據項目經驗，平時多閱讀，提高經驗）

4.5.5選擇和實施控制

一旦確定瞭信息安全要求（4.5.2），確定並評估瞭已識別信息資產的信息安全風險（4.5.3），並做出瞭信息安全風險的決定（見4.5.4），在選擇和實施風險降低控制措施。

控制應該確保風險應該被減少到可以接受的范圍

a) 國傢和國際立法和法規的要求和限制

b) 組織目標

c) 操作要求和限制

d) 他們實施和運營成本與減少的風險有關，並於組織的要求和約束保持成比例。

e) 目標是監測，評估並且提高信息安全有效性來支持組織的目標。選擇和支持控制應該被文檔化的適用性聲明，以幫助滿足合規要求。

f) 平衡在實施和操控控制的投資，對抗信息安全事件的損失。

在ISO 27002強調的控制更有價值作為最佳實踐對於組織來說，易於定制以適應各種規模和復雜性組織。27002 提供ISMS其他控制標準。

4.5.6 監測，維護和提高ISMS有效性

4.5.7 持續性提高

持續改進ISMS 的目的是增加實現信息保密性、可用性和完整性目標的可能性。持續改進的重點是尋求改進的機會，而不是假設現有的管理活動足夠好或盡可能好。

提高行為包括這些：

a) 分析評估現狀來確認提高的方面

b) 建立提高對象

c) 尋找可能的方案來提高對象

d) 評估方案來做選擇

e) 實施選擇好的方案

f) 測量，驗收，分析和評估實施結果來衡量是否接觸到主題

g) 格式化改變

4.6 ISMS 重要成功因素

許多因素對於ISMS的成功實施至關重要，從而使組織能夠實現其業務目標。一些重要因素的例子：

a) 信息安全策略，主體，和主體一致的活動

b) 設計，實施、監測、維護和改進符合組織文化的信息安全的方法和框架。

c) 各級管理層，特別是最高管理層的明顯支持和承諾

d) 對信息資產保護需求的理解通過信息安全風險管理應用。

e) 有效的信息安全意識、培訓和教育計劃，告知所有員工和其他相關方信息安全政策、標準等規定的信息安全義務，並激勵他們采取相應行動。

f) 有效的信息安全事件管理流程

g) 有效的業務連續性管理方法

h) 用於評估信息安全管理績效並反饋改進建議的衡量系統。

2700X全傢桶介紹，之後補充。