1.建立ISMS

組織應(yīng)根據(jù)業(yè)務(wù)、組織、位置、資產(chǎn)和技術(shù)等方面的特性，確定ISMS的范圍和邊界， 包括對(duì)范圍任何冊(cè)0減的詳細(xì)說明和正當(dāng)性理由。一般lSMs的范圍可以包括全組織或組織中若干個(gè)部門或分支，特殊情況下也可以針對(duì)組織的某些具體業(yè)務(wù)流程（女噸子商務(wù)、電子政務(wù)、智能制造等）確定ISMS的范圍邊界。一旦確定后必須以正式文件形式加以記錄和發(fā)布。

組織應(yīng)根據(jù)業(yè)務(wù)、組織、位置、資產(chǎn)和技術(shù)等方面的特性，確定ISMS方針。ISMS方針應(yīng)：1）包括設(shè)定目標(biāo)的框架和建立信息安全工作的總方向和原則；2）考慮業(yè)務(wù)和法律法規(guī)的要求，及合同中的安全義務(wù)；3）在組織的戰(zhàn)略性風(fēng)險(xiǎn)管理環(huán)境下，建立和保持ISMS;4)建立風(fēng)險(xiǎn)評(píng)價(jià)的準(zhǔn)則；5）獲得管理者批準(zhǔn)。ISMS方針也被認(rèn)為是信息安全方針的一個(gè)擴(kuò)展集。這些方針應(yīng)該在一個(gè)正式文件（信息安全方針或信息安全管理體系手冊(cè)）中進(jìn)行描述。

組織應(yīng)確定組織的風(fēng)險(xiǎn)評(píng)估方法：包括識(shí)別適合ISMS、已識(shí)別的業(yè)務(wù)信息安全和法律法規(guī)要求的風(fēng)險(xiǎn)評(píng)估方法；制定接受風(fēng)險(xiǎn)的準(zhǔn)則和風(fēng)險(xiǎn)評(píng)估方法（定性化風(fēng)險(xiǎn)評(píng)估、定量化風(fēng)險(xiǎn)評(píng)估、半定量風(fēng)險(xiǎn)評(píng)估等），由管理者代表確定可接受的風(fēng)險(xiǎn)級(jí)別。選擇的風(fēng)險(xiǎn)評(píng)估方法應(yīng)確保風(fēng)險(xiǎn)評(píng)估產(chǎn)生可比較的和可再現(xiàn)的結(jié)果。