信息安全管理體系建設過程：

3-1 規劃與建立

組織背景

1.建立信息安全管理體系的基礎

2.了解組織有關信息安全的內部（人員、管理、流程等）和外部（合作伙伴、供應商、外包商等）問題

3.確定ISMS管理范圍

4.建立、實施、運行、保持和持續改進符合國際要求的ISMS

領導力

1.管理承諾是建立信息安全管理體系的關鍵成功因素之一

2.建立在組織的整體管理基礎，需要組織整體參與

3.組織高層確定的信息安全方針并文檔化，明確描述組織的角色、職責和權限

計劃

1.計劃建立在風險評估基礎上

2.計劃必須符合組織的安全目標

3.層次改進

支持

1.獲得資源

2.全員宣貫培訓

3-2 實施與運行

1.實施風險評估，確定所識別信息資產的信息安全風險以及處理信息安全風險的決策，形成信息安全要求

2.控制措施適度安全

3.控制在適用性聲明中形成文件

3-3 監視和評審

根據組織政策和目標，監控和評估績效來維護和改進ISMS

1.監測、測量、分析和評價

2.內部審核

3.管理評審

3-4 維護和改進

1.不符合和糾正措施

2.持續改進

4.文檔化

4-1 體系文件分類

4-2 文件控制

1.文件建立

2.文件批準發布

3.文件評審與更新

4.文件保存

5.文件作廢

4-3 記錄管理

應保留過程執行記錄和所有與信息安全管理體系有關的安全事故發生的記錄。