信息系统安全管理体系认证 证书的周期

信息的生命周期考虑

信息在不同的生命周期阶段，包括构思、规约、设计、开发、测试、实现、使用、维护，并终退役和销毁中，其资产的价值和所面临的风险可能会发生变化，如上市公司的报表信息在发布前后面临的窃取或泄露所产生的危害是不同的。在每一阶段上应当考虑信息安全。

组织信息安全管理体系受到组织的需要和目标、安全要求、组织所采用的过程、规模和结构的影响，并随着时间的变化而发生变化。更重要的是信息安全管理体系是组织的过程和整体管理体系结构的一部分并集成在其中，并且在过程、信息系统和控制设计中需要考虑信息安全。即信息安全管理体系应于组织的需要相结合，以证实自己控制信息安全的能力，为组织和相关方提供信任。

制定适用性声明。

制定正式的信息安全风险处置计划，获得风险责任人对计划及对信息安全残余风险的接受的批准。

具体实施以上计划，包括对变更的管理、外程的管理等。

 持续改进

利用风险管理过程、管理体系的方法进行监视、保持和改进与组织信息资产相关的安全控制措施的有效性，以实现持续改进。

 适用性声明

应当制定一个适用性说明，包含必要的控制及其选择的合理性说明（无论该控制是否已实现），以及对GB/T22080-2016/ISO/IEC27001：2013标准附录A控制删减的合理性说明。

当然可以增加一些标准附录外的特定控制，此时可给出与标准可用条款的交叉应用，以支持业务伙伴或其他相关方查看。

信息安全风险处置选项

在考虑风险评估结果的基础上，选择需要控制的适合的信息安全风险处置选项，确定所必需的所有控制。

选择和实施信息安全控制措施

将选择的所有控制与标准附录进行对照，并验证没有忽略必要的控制。控制措施可从标准给出的指标中选择，也可以特定设计。