在建立企业的信息安全管理体系之前，如果没有设置相应的信息安全组织机构，那么建立体系所需要的资源（资金、人员等）就无法得到保障，企业的信息安全制度和策略也就无法贯彻落实，企业的信息安全管理体系就形同虚设起不到任何作用。因此，企业在建立信息安全管理体系前必须建立健全信息安全组织机构，机构设置可以根据职责分为三个层次。4.1信息安全决策机构。信息安全决策机构处于安全组织机构的第一个层次，是本单位信息安全工作的最高管理机构。应以单位主要领导负责，对信息安全规划、信息安全策略和信息安全建设方案等进行审批，并为企业信息安全工作提供各类必要资源。4.2管理机构。处于安全组织机构的第二个层次，在决策机构的领导下，主要负责企业日常信息安全的管理、监督以及安全教育与培训等工作，此类工作大部分都由企业的信息化部门承担。4.3执行机构。处于信息安全组织机构的第三个层次，在管理机构的领导下，负责保证信息安全技术体系的有效运行及日常维护，通过具体技术手段落实安全策略，消除安全风险，以及发生安全事件后的具体响应和处理，执行机构人员可以由信息中心技术人员与各部门专职或兼职信息安全员组成。

　　5、信息安全管理体系的建立

　　ISO/IEC27001:20xx标准的“建立ISMS”章节中，已明确了信息安全管理体系建立的10项强制性要求和步骤。企业应结合自身实际情况，遵照这些内容和步骤，建立自己的信息安全管理体系，并形成相应的体系文件。

　　5.1建立的步骤。

　　（1）结合企业实际，明确体系边界与范围，并编制体系范围文件。

　　（2）明确体系策略，构建目标框架、风险评价的准则等，形成方针文件。

　　（3）确定风险评估方法。

　　（4）识别信息安全风险，主要包括信息安全资产、责任、威胁以及造成的后果等。（5）进行安全风险分析评价，编制评估报告，确定信息安全资产保护清单。

　　（6）明确安全保护措施，编制风险处理计划。

　　（7）制定工作目标、措施。

　　（8）管理者审核、批准所有残余风险。

　　（9）经管理层授权实施和运行安全体系。

　　（10）准备适用性声明。以上步骤解释不详尽之处，参看ISO/IEC27001:20054.2.1章节中A-J部分。

　　5.2信息安全管理体系涉及的文件。

　　文件作为体系的主要元素，必须与ISO/IEC27001:20xx标准保持一致，同时也要结合企业实际，确保员工遵照要求严格执行。而且也要符合企业的实际情况和信息安全需要。在实际工作中，企业员工应按照文件要求严格执行。

　　5.2.1体系文件类型主要涉及方针、程序与记录三类。方针类主要是指管理体系方针与信息安全方针，涵盖硬件、网络、软件、访问控制等；程序类主要是指“过程文件”，涉及输入、处理与输出三个环节，结果常以“记录”形式出现；记录类主要是记录程序文件结果，常以是表格形式出现。至于适用性声明文件，企业应结合自身情况，参照ISO/IEC27001:20xx标准的附录A，有选择性地作出声明，并形成声明文件。5.2.2体系必须具备的文件。主要包括方针、风险评估、处理、文件控制、记录控制、内部审核、纠正与预防、控制措施有效性测量、管理评审与适用性声明等。

　　5.2.3任意性文件。企业可以针对自身业务、管理与信息系统等情况，制定自己独有的信息方针、程序类文件。

　　5.2.4文件的符合性。文件必须符合相关法律法规、ISO/IEC27001:20xx标准以及企业实际要求，保证与企业其他体系文件协调一致，避免冲突，同时在文字描述准确且无二义。

　　6、体系实施与运行

　　主要包括策略控制措施、过程和程序，涉及制定和实施风险处理计划、选择控制措施与验证有效性、安全教育培训、运行管理、资源管理以及安全事件应急处理等。

　　7、体系的监视与评审

　　主要指对照策略、目标与实际运行情况，监控与评审运行状态，主要涉及有效性评审、控制措施测试验证、风险评估、内部审核、管理评审等环节，并根据评审结果编制与完善安全计划。