2.實施和運行ISMS

組織應(yīng)為管理信息安全風(fēng)險識別適當(dāng)?shù)墓芾泶胧①Y源、職責(zé)和優(yōu)先順序，即：制定風(fēng)險處置計劃；實施風(fēng)險處置計劃以達到已識別的控制目標(biāo)，包括資金安排、角色和職責(zé)的分配；實施選擇的控制措施，以滿足控制目標(biāo)；確定如何測量所選擇的控制措施或控制措施集的有效性，并指明如何用這些測量措施來評估控制措施的有效性，以產(chǎn)生可比較的和可再現(xiàn)的結(jié)果；實施培訓(xùn)和意識教育計劃；管理ISMS的運行；管理ISMS的資源；實施能夠迅速檢測安全事態(tài)和響應(yīng)安全事件的規(guī)程和其他控制措施。