信息安全管理体系文件编制完成以后，组织应按照文件的控制要求进行审 核与批准，并发布实施，至此，信息安全管理体系将进入运行阶段。体系运行初期一般称为试运行期或磨合期，在此期间体系运行的 目的是要在实践中检验体系的充分性、适用性和有效性。在体系运行初期，组织应加强运作力度，通过实施其手册、程序和各种作业 指导性文件等一系列体系文件，充分发挥体系本身的各项功能，及时发现体系策划本身存在的问题，找出问题根源，采取纠正措施， 纠正各种不符合，并按照更改控制程序要求对体系予以更改，以达到进一步完善信息安全管理体系的目的。

　　有针对性 地宣贯信息安全管理体系文件。

　　体系文件的培训工作是体系运行的首要任务，培训工作的质量直接影响体系运行的结 果。组织应根据培训工作计划的安排并按照培训程序的要求对全体员工实施培训。通过培训使全体员工认识到新建立或完善的信息安 全管理体系是对过去信息安全管理体系的变革，是为了向国际先进的信息安全管理标准接轨，要适应这种变革和新管理体系的运行， 就必须认真学习、贯彻信息安全管理体系文件。

　　实践是检验真理的唯一标准。

　　体系文件通过试运行 必然会出现一些问题，全体员工应将实践中出现的问题和改进意见如实反馈给有关部门，以便采取纠正措施。

　　将体系 试运行中暴露出的问题，如体系设计不周、项目不全等进行协调、改进。

　　信息安全管理体系的运行涉及组织体系范围 的各个部门，在运行过程中，各项活动往往不可避免的发生偏离标准的现象，因此，组织应按照严密、协调、高效、精简、统一的原 则，建立信息反馈与信息安全协调机制对异常信息反馈和处理，对出现的问题加以改进，并保证体系的持续正常运行。

　 　加强有关体系运行信息的管理，不仅是信息安全管理体系试运行本身的需要，也是保证试运行成功的关键。

　　所有与 信息安全管理体系活动有关的人员都应按体系文件要求，做好信息安全的信息收集、分析、传递、反馈、处理和归档等工作。

　　信息安全体系文件属于组织的信息资产，包含有关组织的全部安全管理等敏感信息，组织应按照信息分类的原则对其 进行分类、进行密级标注并实行严格的安全控制，未经授权不得随意复制或借阅。

建立ISO27000信息安全管理体系的步骤。

　　1.信息安全管理系统的规划与准备。

　　规划准备阶段主要是建立信息安全管理体系的前期工作。内容包括教育培训、制定计划、安全管理发展研究、相关资源配置管理。

　　2.确定信息安全管理系统的适用范围。

　　信息安全管理系统的范围是需要关注管理的安全领域。组织需要根据自己的实际情况，可以在整个组织范围内或在个别重要部门或领域实施。在本阶段的工作中，组织应分为不同的信息安全控制领域，便于组织对不同需求的领域进行适当的信息安全管理。在定义适用范围时，应关注组织的适用环境、适用人员、现有信息系统、现有信息资产及其相互关系。

　　3.现状调查和风险评估。

　　根据相关信息安全技术和管理标准，对信息系统信息系统及其生成、处理、传输和存储的信息的机密性、完整性和可用性，评价信息资产的威胁和安全事件的可能性，结合安全事件涉及的信息资产价值，判断安全事件对组织的影响。

　　4.建立信息安全管理框架。

　　建立信息安全管理体系规划和建立合理的信息安全管理框架，从整体和整体的角度，从信息系统的各个层面进行整体安全建设，从信息系统本身，根据业务性质、组织特点、信息资产状况和技术条件，建立信息资产清单、风险分析、需求分析和选择安全控制、准备适用性声明等步骤，建立安全体系，提出安全解决方案。

5.编制信息安全管理文件体系。

　　建立和保持文件化信息安全管理体系是ISO/IEC27001:2005标准的总体要求。编制信息安全管理体系文件是建立信息安全管理体系的基础工作，也是实现风险控制、评估和完善信息安全管理体系的组织。实现持续改进的基础。信息安全管理体系建立的文件应包括:安全政策文件、适用范围文件、风险评估文件、实施控制文件、适用性声明文件。

　　6.信息安全管理体系的运行与完善。

　　信息安全管理系统文件编制完成后，组织应按照文件控制要求进行审批和发布实施。到目前为止，信息安全管理系统将进入运行阶段。在此期间，组织应加强运行，充分发挥系统本身的功能，及时发现系统规划中存在的问题，找出问题的根源，采取纠正措施，按照更改控制程序的要求更改系统，以进一步完善信息安全管理系统。

　　7.信息安全管理体系审核。

　　系统审计是为了获取审计证据，客观评价系统，确定符合审计标准的程度而进行的系统、独立、形成文件的检查过程。系统审计包括内部审计和外部审计(第三方审计)。内部审计一般以组织名义进行，可作为组织自我合格检查的基础;外部审计由外部独立组织进行，可提供符合要求的认证或注册(如ISO/IEC27001)。

　　信息安全管理体系的建立是一个目标叠加的过程，是在不断发展和变化的技术环境中进行的，是一个动态的闭环风险管理过程。为了取得有效的成果，我们需要从评估、保护、监督、响应和恢复，这些都需要自上而下的参与和关注，否则只能流于形式和过程，不能发挥真正有效的安全控制目的和作用。