依照ISO 27001,部署信息安全管理体系ISMS的第一阶段在适用性声明SoA完成之后。SoA必须识别出控制目标和选定的控制措施,以及选定它们的原因,它又 指回到风险评估和风险应对计划。标准还要求识别出目前已实施的控制,以及识别出信息安全管理体系日常运作中涉及到的绝大多数控制。
差距分析
下一步的关键是进行差距分析。差距分析的目的是确定风险评估进程中识别出的控制和SoA中记录的控制,以及实际部署的控制之间的差距。在大多数组织 中,实际上拥有的控制措施和它们所需要的并不一致,这种情况并非罕见。这种不一致并非仅仅是说组织缺乏相应的控制措施,而且包含组织很不容易发现已有的控 制措施没有得到恰当正确的操作,或者这些控制根本没有必要。差距分析需要同时对信息安全管理体系和流程管理方面进行评估,同时还要对已经实施的技术控制进 行评估,最好是由独立于被评估领域之外的专家进行。
差距分析使本组织能够将风险处置计划的第二和最重要的部分放在一起,“管理信息安全风险的管理行动、资源、责任和优先级别”是一套详细的行动计划, 运用它们,可使组织切实履行其信息安全管理体系。如前所述,风险处理计划是链接信息安全管理体系PDCA循环的四个阶段的关键文件,并确保一切需要做的是 得到了贯彻执行。
部署实施
信息安全管理体系的设计和实施的其余第二阶段包括以下五项活动:
1.实施风险处理计划和SOA中确定的控制;
2.定义如何衡量和评估所有控制的有效性;
3.实施信息安全意识,教育和培训的培训和宣传方案;
4.管理信息安全管理体系,所有的联锁控制和程序必须继续工作,新的威胁需要得到识别、评估和进行必要的处理。人员需要招募和训练,要监督他们的绩效表现,以及按照业务不断变化的需求开发他们的技能。ISMS的有效性必须加以管理,长期的持续改进必需得到计划和领导;
5.实施事件检测和响应程序,它连接到ISO 27002第13条款,信息安全事件管理。它包含两项控制目标和五项控制。开发和实施信息安全事件管理流程合乎标准的要求,并且经常开始于信息安全管理体系项目的启动。