編寫信息管理體系程序文件時應(yīng)注意：

程序文件要符合組織業(yè)務(wù)運(yùn)作的實(shí)際，并具有可操作性；

可檢查性。實(shí)施信息管理體系的一個重要標(biāo)志就是有效性的驗(yàn)證。程序文件主要體現(xiàn)可檢查性，必要時附相應(yīng)的控制標(biāo)準(zhǔn)； 在正式編寫程序文件之前，組織應(yīng)根據(jù)標(biāo)準(zhǔn)的要求、風(fēng)險評估的結(jié)果及組織的實(shí)際對程序文件的數(shù)量及其控制要點(diǎn)進(jìn)行策劃，確保每個程序之間要有必要的銜接，避免相同的內(nèi)容在不同的程序之間有較大的重復(fù)；另外，在能夠?qū)崿F(xiàn)控制的前提下，程序文件數(shù)量和每個程序的篇幅越少越好； 程序文件應(yīng)得到本活動相關(guān)部門負(fù)責(zé)人同意和接受，必須經(jīng)過審批，注明修訂情況和有效期。

PDCA的應(yīng)用

P—建立信息管理體系環(huán)境&風(fēng)險評估

要啟動PDCA 循環(huán)，必須有“啟動器”：提供必須的資源、選擇風(fēng)險管理方法、確定評審方法、文件化實(shí)踐。設(shè)計策劃階段就是為了確保正確建立信息管理體系的范圍和詳略程度，識別并評估所有的信息風(fēng)險，為這些風(fēng)險制定適當(dāng)?shù)奶幚碛媱潯２邉濍A段的所有重要活動都要被文件化，以備將來追溯和控制更改情況。

1．確定范圍和方針

信息管理體系可以覆蓋組織的全部或者部分。無論是全部還是部分，組織都必須明確界定體系的范圍，如果體系僅涵蓋組織的一部分這就變得更重要了。組織需要文件化信息管理體系的范圍，信息管理體系范圍文件應(yīng)該涵蓋：

確立信息管理體系范圍和體系環(huán)境所需的過程； 戰(zhàn)略性和組織化的信息管理環(huán)境； 組織的信息風(fēng)險管理方法； 信息風(fēng)險評價標(biāo)準(zhǔn)以及所要求的保證程度； 信息資產(chǎn)識別的范圍。 信息管理體系也可能在其他信息管理體系的控制范圍內(nèi)。在這種情況下，上下級控制的關(guān)系有下列兩種可能：

下級信息管理體系不使用上級信息管理體系的控制：在這種情況下，上級信息管理體系的控制不影響下級信息管理體系的PDCA 活動； 下級信息管理體系使用上級信息管理體系的控制：在這種情況下，上級信息管理體系的控制可以被認(rèn)為是下級信息管理體系策劃活動的“外部控制”。盡管此類外部控制并不影響下級信息管理體系的實(shí)施、檢查、措施活動，但是下級信息管理體系仍然有責(zé)任確認(rèn)這些外部控制提供了充分的保護(hù)。 方針是關(guān)于在一個組織內(nèi)，指導(dǎo)如何對信息資產(chǎn)進(jìn)行管理、保護(hù)和分配的規(guī)則、指示，是組織信息管理體系的基本法。組織的信息方針，描述信息在組織內(nèi)的重要性，表明管理層的承諾，提出組織管理信息的方法，為組織的信息管理提供方向和支持。

2、定義風(fēng)險評估的系統(tǒng)性方法

確定信息風(fēng)險評估方法，并確定風(fēng)險等級準(zhǔn)則。評估方法應(yīng)該和組織既定的信息管理體系范圍、信息需求、法律法規(guī)要求相適應(yīng)，兼顧效果和效率。組織需要建立風(fēng)險評估文件，解釋所選擇的風(fēng)險評估方法、說明為什么該方法適合組織的要求和業(yè)務(wù)環(huán)境，介紹所采用的技術(shù)和工具，以及使用這些技術(shù)和工具的原因。評估文件還應(yīng)該規(guī)范下列評估細(xì)節(jié)：a.信息管理體系內(nèi)資產(chǎn)的估價，包括所用的價值尺度信息；b. 威脅及薄弱點(diǎn)的識別；c.可能利用薄弱點(diǎn)的威脅的評估，以及此類事故可能造成的影響；d.以風(fēng)險評估結(jié)果為基礎(chǔ)的風(fēng)險計算，以及剩余風(fēng)險的識別。