2. 정보 보안 관리 시스템의 적용 범위를 결정합니다.
3. 상태 조사 및 위험 평가
4. 정보 보안 관리 프레임 워크를 수립하십시오.
5, 정보 보안 관리 시스템 문서 작성
6. 정보 보안 관리 시스템의 운영 및 개선
7, 정보 보안 관리 시스템 감사
1. 정보 보안 관리 시스템 계획 및 준비. 계획 준비 단계는 주로 정보 보안 관리 체계를 구축하기 위한 각종 준비 작업을 하는 것이다. 교육 및 교육, 계획 수립, 보안 관리 개발 조사, 인적 자원 할당 및 관리 등이 포함되어 있습니다.
2. 정보 보안 관리 시스템의 적용 범위를 결정합니다. 정보 보안 관리 체계의 범위는 중점 관리가 필요한 보안 영역이다. 조직은 자신의 실제 상황에 따라 전체 조직 또는 개별 부서 또는 영역에서 구현해야 합니다. 이 단계에서는 조직을 서로 다른 요구 사항 영역에서 적절한 정보 보안 관리를 수행할 수 있도록 정보 보안 제어 영역으로 분할해야 합니다. 적용 범위를 정의할 때 조직의 적용 가능한 환경, 적용 가능한 인력, 기존 IT 기술 및 기존 정보 자산에 초점을 맞추어야 합니다.
조사 및 위험 평가. 관련 정보 보안 기술 및 관리 기준에 따라 정보 시스템 및 처리, 전송 및 저장된 정보의 기밀성, 무결성 및 가용성과 같은 보안 속성을 조사하고 평가합니다. 정보 자산이 직면한 위협과 보안 이벤트의 발생 가능성을 평가합니다. 보안 사건과 관련된 정보 자산의 가치와 결합하여 보안 이벤트가 조직에 미치는 영향을 판단하다.
4. 정보 보안 관리 프레임 워크 구축: 정보 보안 관리 시스템 구축, 합리적인 정보 보안 관리 프레임 워크 계획 및 구축, 전체 및 글로벌 관점에서 정보 시스템의 모든 수준에서 전체 보안 구축, 정보 시스템 자체에서 정보 자산 목록 구축, 비즈니스 특성, 조직 특성, 정보 자산 상태 및 기술 조건에 따른 위험 분석, 요구 사항 분석, 보안 통제 선택, 적합성 선언 준비 등의 단계
5. 정보 보안 관리 시스템의 문서화: 문서화된 정보 보안 관리 시스템을 구축하고 유지하는 것은 ISO/IEC2700 1:2005 표준의 일반적인 요구 사항입니다. 정보 보안 관리 시스템의 문서화는 정보 보안 관리 시스템을 구축하는 기본 작업이며, 위험 관리, 정보 보안 관리 시스템 평가 및 개선, 지속적인 개선을 위한 필수 토대이기도 합니다. 정보 보안 관리 시스템에 구축된 문서에는 보안 정책 문서, 적용 범위 문서, 위험 평가 문서, 구현 및 제어 문서, 적합성 선언 파일이 포함되어야 합니다.
6. 정보 보안 관리 시스템의 운영 및 개선. 정보 보안 관리 시스템 문서 작성이 완료되면 조직은 문서의 통제 요구 사항에 따라 검토 및 승인을 수행하고 구현을 발표해야 합니다. 이 시점에서 정보 보안 관리 시스템은 운영 단계에 들어갑니다. 이 기간 동안 조직은 운영을 강화하고, 시스템 자체의 기능을 충분히 발휘하며, 시스템 계획에 존재하는 문제를 적시에 찾아내고, 문제의 근본 원인을 찾아내고, 수정 조치를 취하고, 변경 제어 절차의 요구 사항에 따라 시스템을 변경해야 합니다. 정보 보안 관리 체계를 더욱 개선하다.
7. 정보 보안 관리 시스템 감사. 시스템 감사는 감사 증거를 얻고, 객관적으로 시스템을 평가하고, 감사 기준을 충족하는 정도를 결정하기 위한 체계적이고 독립적이며 문서화된 검사 프로세스입니다. 시스템 감사에는 내부 감사 및 외부 감사 (타사 감사) 가 포함됩니다. 내부 감사는 일반적으로 조직의 이름으로 진행되며, 조직의 자기자격 검사의 근거가 될 수 있습니다. 외부 감사는 외부 독립 기관에서 실시하며 요구 사항을 충족하는 인증 또는 등록 (예: ISO/IEC2700 1) 을 제공할 수 있습니다.