依照ISO 27001,部署信息安全管理體系ISMS的第一階段在適用性聲明SoA完成之後。SoA必須識別出控制目標和選定的控制措施,以及選定它們的原因,它又 指回到風險評估和風險應對計劃。標準還要求識別出目前已實施的控制,以及識別出信息安全管理體系日常運作中涉及到的絕大多數控制。
差距分析
下一步的關鍵是進行差距分析。差距分析的目的是確定風險評估進程中識別出的控制和SoA中記錄的控制,以及實際部署的控制之間的差距。在大多數組織 中,實際上擁有的控制措施和它們所需要的並不一致,這種情況並非罕見。這種不一致並非僅僅是說組織缺乏相應的控制措施,而且包含組織很不容易發現已有的控 制措施沒有得到恰當正確的操作,或者這些控制根本沒有必要。差距分析需要同時對信息安全管理體系和流程管理方面進行評估,同時還要對已經實施的技術控制進 行評估,最好是由獨立於被評估領域之外的專家進行。
差距分析使本組織能夠將風險處置計劃的第二和最重要的部分放在一起,“管理信息安全風險的管理行動、資源、責任和優先級別”是一套詳細的行動計劃, 運用它們,可使組織切實履行其信息安全管理體系。如前所述,風險處理計劃是鏈接信息安全管理體系PDCA循環的四個階段的關鍵文件,並確保一切需要做的是 得到了貫徹執行。
部署實施
信息安全管理體系的設計和實施的其餘第二階段包括以下五項活動:
1.實施風險處理計劃和SOA中確定的控制;
2.定義如何衡量和評估所有控制的有效性;
3.實施信息安全意識,教育和培訓的培訓和宣傳方案;
4.管理信息安全管理體系,所有的聯鎖控制和程序必須繼續工作,新的威脅需要得到識別、評估和進行必要的處理。人員需要招募和訓練,要監督他們的績效表現,以及按照業務不斷變化的需求開發他們的技能。ISMS的有效性必須加以管理,長期的持續改進必需得到計劃和領導;
5.實施事件檢測和響應程序,它連接到ISO 27002第13條款,信息安全事件管理。它包含兩項控制目標和五項控制。開發和實施信息安全事件管理流程合乎標準的要求,並且經常開始於信息安全管理體系項目的啓動。