建立信息安全管理體系的步驟如下：

1.定義信息安全策略

信息安全策略需按組織內各部門的具體情況,對應制訂不一樣的安全策略。信息安全策略應簡單明白、通俗易懂,並構成書面文件,發向組織內的所有成員,同時要對全部相關員工培訓信息安全策略,對信息安全有特殊責任的人員得特殊的培訓,為了讓信息安全方針確實植根在組織內全部員工中並執行到實際工作中。

2.建立信息安全管理體系的步驟定義ISMS的範圍

ISMS的範圍確定得重點在信息安全管理的領域,組織需要按自己的實際情況，在整個組織內,或在有些部門及領域構架ISMS。在這個階段,應把組織劃成不一樣的信息安全控制領域,為方便組織對有不一樣需求的領域實施合適的信息安全管理。

3.進行信息安全風險評估

信息安全風險評估的複雜程度將由風險的複雜程度與受保護資產的敏感程度決定,用的評估手段應與組織保護信息資產風險的需求相同。風險評估主要鑑定與估價ISMS範圍內的信息資產,之後評估信息資產存在的各種威脅與脆弱性,同時鑑定已有的或規劃的安全管制措施。風險評估主要依靠商業信息與系統性質、使用信息的商業目的、用的系統環境等因素,組織在信息資產風險評估時,需一起考慮直接後果與潛在後果。

4.信息安全風險管理

由風險評估的結果進行對應的風險管理。信息安全風險管理的措施主要有以下幾種。

(1)降低風險:在轉嫁風險前,第一步得先考慮採取手段降低風險。

(2)避免風險:有些風險很易避免。

(3)轉嫁風險:一般僅有當風險無法降低或避免,且被第三方接受時才用。通常用在那些小概率的但一旦發生就會對組織有重大影響的風險。

(4)接受風險:用在那些在採取了降低風險與避免風險措施後,出於實際和經濟方面的原因,只要組織實施運營,就一定有並肯定會接受的風險。

5.確定管制目標和選擇管制措施

管制目標的確定和管制措施的選擇原則是費用不多於風險造成的損失。因信息安全是個動態的系統工程,組織應實時對選擇的管制目標與措施進行校驗與調整,以適應情況變化,使組織的信息資產有效、經濟、合理的得以保護。

6.準備信息安全適用性聲明

信息安全適用性聲明寫了組織內有關的風險管制目標與對應的各種控制措施。準備信息安全適用性聲明,一方面是為了給組織內的員工表明看待信息安全風險的態度,在更大程度上則是為了對外界體現組織的態度與作為,說明組織已全面、系統地看待了信息安全系統,並把全部有管制需求的風險控制在能接受的範圍內。