如何建立信息安全管理体系(ISMS)

序类文件（Procedures） 

“程序文件”有时又称作“过程文件”,包含着为达到某个特定目的，而对一系列活动(或过程)的顺序进行控制。有输入-处理-输出。所产生的输出通常是“记录”。

3)  记录（Records） 

记录是提供客观证据的一种特殊类型的文件。通常, 记录发生于过去，是相关程序文件运行产生的结果（或输出）。记录通常是表格形式。

4)  适用性声明文件（Statement of Applicability, 简称SOA） 

ISO/IEC 27001:2005标准的附录A提供许多控制目标和控制措施。这些控制目标和控制措施是最佳实践。对于这些控制目标和控制措施，实施ISMS的组织只要有正当性理由，可以只选择适合本组织使用的那些部分，而不适合使用的部分，可以不选择。选择，或不选择，要做出声明（说明），并形成《适用性声明》文件。

(2)  必须的文件  

   “必须的ISMS文件”是指ISO/IEC 27001:2005“4.3.1总则”明确规定的，一定要有的文件。这些文件就是所谓的强制性文件(mandatory documents)。“4.3.1总则”要求ISMS文件必须包括9方面的内容：
1)   ISMS方针 
     ISMS方针是组织的顶级文件，规定该组织如何管理和保护其信息资产的原则和方向，以及各方面人员的职责等。
2)   ISMS的范围
3)   支持ISMS的程序和控制措施；
4)   风险评估方法的描述；
5)   风险评估报告；
6)   风险处理计划；
7)   控制措施有效性的测量程序；
8)   本标准所要求的记录；
9)   适用性声明。
    在实际工作中，上述内容经过归纳和整理后，可用以下文件表示：
1)  ISMS方针文件，包括ISMS的范围；
2)  风险评估程序，包括“风险评估方法的描述”，而其运行的结果产生《风险评估报告》。
3)  风险处理程序，运行的结果产生《风险处理计划》。
4)  文件控制程序；
5)  记录控制程序；
6)  内部审核程序；
7)  纠正措施与预防措施程序；
8)  控制措施