什么是管理體系？簡(jiǎn)單說就是組織為了實(shí)現(xiàn)管理目的而建立的一系列相輔相成的管理過程，對(duì)組織的活動(dòng)進(jìn)行指導(dǎo)和控制。管理體系可大可小，也可簡(jiǎn)單也可復(fù)雜，一個(gè)全面的管理體系可以由多個(gè)單獨(dú)的管理體系組成，其最終目的是實(shí)現(xiàn)組織的價(jià)值和戰(zhàn)略目標(biāo)。從這個(gè)角度來看，信息安全管理體系就是為了實(shí)現(xiàn)信息安全目的而建立的管理體系。隨著國(guó)際標(biāo)準(zhǔn)化組織導(dǎo)則83的發(fā)布，對(duì)管理體系標(biāo)準(zhǔn)的基本結(jié)構(gòu)提出了明確的要求，依據(jù)導(dǎo)則83編制的管理體系標(biāo)準(zhǔn)從章節(jié)設(shè)置和框架內(nèi)容設(shè)置上都保持了高度一致，每個(gè)管理體系都是建立在同一個(gè)框架下。組織在建立管理體系的同時(shí)，也建立了一個(gè)基本的管理框架，這樣一來，組織無論是建立其他管理體系還是為了實(shí)現(xiàn)某種管理目的建立管理制度時(shí)，都可以在這個(gè)基本管理框架下進(jìn)行，所以，組織要建立ISMS應(yīng)先從管理框架建起，這樣可以達(dá)到事半功倍的效果。

那么，如何建立管理框架才能避免前面提到的三個(gè)問題呢？首先，從標(biāo)準(zhǔn)結(jié)構(gòu)來看，管理體系的框架分7章節(jié)進(jìn)行描述，分別為：組織環(huán)境、領(lǐng)導(dǎo)力、規(guī)劃、支持、運(yùn)行、績(jī)效評(píng)價(jià)和持續(xù)改進(jìn)。每一章節(jié)的內(nèi)容都很簡(jiǎn)單，僅僅是提出了要求，卻沒有要求一定要怎樣做，組織必須自己理解或者聘請(qǐng)有能力的人員來幫助完成這些管理過程的設(shè)計(jì)和實(shí)施?？蚣芙⒌馁|(zhì)量將決定一個(gè)具體的管理體系設(shè)計(jì)實(shí)施的效果?，F(xiàn)在，我們來了解一下管理框架的基本內(nèi)容：

1.組織環(huán)境：組織需要建立組織環(huán)境管理的基本方法并識(shí)別組織的基本環(huán)境信息，其實(shí)所謂的組織環(huán)境也就是我們常說的組織的基本情況，例如組織業(yè)務(wù)及業(yè)務(wù)特點(diǎn)、來自外部的限制條件和約束、內(nèi)部的限制條件和約束、相關(guān)方及其特點(diǎn)等，這些都會(huì)影響體系的設(shè)計(jì)效果，就像設(shè)計(jì)一個(gè)建筑要了解地質(zhì)條件和人文環(huán)境一樣重要。

2.領(lǐng)導(dǎo)力：沒有管理層的支持就沒有資源，因此要明確管理層的責(zé)任。管理體系要實(shí)現(xiàn)的組織管理目的其實(shí)就是管理層的管理目的，管理層在管理體系里面一個(gè)重要的責(zé)任就是要明確提出管理目的，也就是我們常說的確定方針，如果缺少這個(gè)環(huán)節(jié)，設(shè)計(jì)出的管理體系就不會(huì)得到管理層的支持。除此之外，為了實(shí)現(xiàn)管理目的，還需要管理層提供資源，分配職責(zé)和賦予權(quán)力。

3.規(guī)劃：有了方針，自然要去實(shí)現(xiàn)它，管理體系的方針實(shí)現(xiàn)過程就是通過建立與方針保持一致的目標(biāo)來實(shí)現(xiàn)，因此在規(guī)劃階段要建立逐級(jí)分解的目標(biāo)，一般目標(biāo)分為上層目標(biāo)和下層目標(biāo)，上層目標(biāo)為下層目標(biāo)提供方向，下層目標(biāo)對(duì)上層目標(biāo)進(jìn)行支撐，分解為多少層與組織的組織架構(gòu)和管理結(jié)構(gòu)有直接關(guān)系，重點(diǎn)是要分解到可以通過活動(dòng)來實(shí)現(xiàn)的層級(jí)。并不是每一個(gè)目標(biāo)分解的層級(jí)都是一樣的，需要根據(jù)實(shí)際情況來確定。在規(guī)劃的環(huán)節(jié)，還應(yīng)充分考慮組織的風(fēng)險(xiǎn)管理，在目標(biāo)實(shí)現(xiàn)過程中，總是會(huì)有各種因素影響目標(biāo)的實(shí)現(xiàn)，這些因素需要進(jìn)行識(shí)別并得到有效控制。但這些因素的識(shí)別不要盲目采用那些所謂放之四海而皆準(zhǔn)的列表，而是要結(jié)合組織自己的情況來針對(duì)性識(shí)別，也就是要充分利用識(shí)別的組織環(huán)境信息。基于上述活動(dòng)，組織就可以建立起貼合實(shí)際的目標(biāo)實(shí)現(xiàn)計(jì)劃。

組織還需注意的是風(fēng)險(xiǎn)管理是動(dòng)態(tài)的，隨著組織環(huán)境的變化，風(fēng)險(xiǎn)也會(huì)變化，因此組織需要建立有效的風(fēng)險(xiǎn)管理過程和風(fēng)險(xiǎn)評(píng)估方法。

4.支持：從體系建設(shè)之初，對(duì)資源的需求就開始了，這一章正式提出了建立、運(yùn)行、維護(hù)和持續(xù)改進(jìn)管理體系所需要的支持，因此可以看出，標(biāo)準(zhǔn)的章節(jié)并不是按體系建設(shè)執(zhí)行順序來寫的，不是要等規(guī)劃完成后再考慮支持資源的提供和支持活動(dòng)的建立。管理體系的支持主要從資源管理、人員能力管理、意識(shí)管理、溝通管理和文檔管理等5個(gè)方面提出要求。這些方面，組織根據(jù)實(shí)際情況或者根據(jù)現(xiàn)有的管理情況確定管理過程即可。

5.運(yùn)行：由于資源和能力限制，運(yùn)行不一定要把規(guī)劃好的活動(dòng)和管理過程全部進(jìn)行實(shí)施和投入運(yùn)行。實(shí)際情況是，管理體系的建立和運(yùn)行在不同規(guī)模的組織內(nèi)需要1年到3年的時(shí)間才能夠相對(duì)完善。因此建設(shè)運(yùn)行計(jì)劃很重要，組織需要根據(jù)組織的管理現(xiàn)狀、資源限制情況、相關(guān)方要求的影響程度等多個(gè)方面，建立可行的建設(shè)運(yùn)行計(jì)劃。對(duì)于那些必須滿足的要求、急需解決的問題、對(duì)組織有重大影響的風(fēng)險(xiǎn)，需要集中資源重點(diǎn)進(jìn)行實(shí)施和運(yùn)行；對(duì)于那些對(duì)業(yè)務(wù)影響比較大，需要反復(fù)論證和測(cè)試的，可以單獨(dú)作為項(xiàng)目進(jìn)行管理和實(shí)施；對(duì)于自我實(shí)現(xiàn)成本過高的可以通過外包的形式進(jìn)行實(shí)現(xiàn)；對(duì)于時(shí)間要求不緊迫的方面，可以在時(shí)間表上緩一緩。一個(gè)好的建設(shè)運(yùn)行計(jì)劃，可以保證體系有條不紊地運(yùn)行。

6.績(jī)效評(píng)價(jià)：績(jī)效評(píng)價(jià)設(shè)計(jì)的好壞，直接影響著管理體系在管理層心目中的形象。這個(gè)環(huán)節(jié)是否能夠很好地進(jìn)行設(shè)計(jì)和實(shí)施取決于規(guī)劃環(huán)節(jié)目標(biāo)對(duì)方針的支持程度和目標(biāo)層級(jí)的設(shè)計(jì)是否合理，因?yàn)楣芾眢w系是否實(shí)現(xiàn)管理層的管理目的要看方針和目標(biāo)是否得到實(shí)現(xiàn)。當(dāng)然這只是一個(gè)方面，有了好的目標(biāo)框架設(shè)計(jì)，還需要好的績(jī)效評(píng)價(jià)方法和評(píng)估實(shí)施過程。很多組織會(huì)建立單獨(dú)的績(jī)效評(píng)價(jià)方法和過程，但實(shí)際上內(nèi)部審核是非常好的績(jī)效評(píng)價(jià)手段。所謂內(nèi)部審核，就是組織對(duì)自己體系運(yùn)行情況的評(píng)價(jià)活動(dòng)，主要用來區(qū)別于第三方審核。組織可以任意設(shè)計(jì)內(nèi)部審核的方式和頻率，不需要每年一次，更不需要由幾個(gè)人員來完成整個(gè)組織的內(nèi)部審核工作。組織可以為每一個(gè)影響管理目標(biāo)的管理過程和管理措施，甚至是活動(dòng)和崗位，設(shè)計(jì)評(píng)價(jià)指標(biāo)、評(píng)價(jià)方法、評(píng)價(jià)頻率并指定評(píng)價(jià)人員。將管理體系的內(nèi)部審核工作分散到各個(gè)部門、各個(gè)團(tuán)隊(duì)，定期或不定期地由相關(guān)人員提供信息和數(shù)據(jù)，然后由專門的部門或崗位對(duì)信息和數(shù)據(jù)進(jìn)行匯總分析，從而實(shí)現(xiàn)績(jī)效的評(píng)價(jià)。但需要注意的是，評(píng)價(jià)方法、抽樣方式和頻率、績(jī)效計(jì)算公式等方面要進(jìn)行詳細(xì)、科學(xué)、合理的設(shè)計(jì)才會(huì)實(shí)現(xiàn)預(yù)期的目的。

管理評(píng)審也是績(jī)效評(píng)價(jià)的一種方式，這種方式比較直接，由管理層直接做出評(píng)價(jià)。當(dāng)然，管理層需要內(nèi)部審核的結(jié)果和體系運(yùn)行的其他信息來進(jìn)行綜合評(píng)價(jià)。管理層的評(píng)價(jià)很重要，直接決定接下來他是否會(huì)更好地支持管理體系的運(yùn)行工作。

7.持續(xù)改進(jìn)：績(jī)效評(píng)價(jià)是持續(xù)改進(jìn)的一個(gè)重要輸入，對(duì)于存在的問題和無法實(shí)現(xiàn)預(yù)期目標(biāo)的方面都要進(jìn)行改進(jìn)，這一方面很容易理解，不再贅述。

如果上述7個(gè)方面組織可以進(jìn)行良好的設(shè)計(jì)和實(shí)施，則無論建立什么樣的管理體系都可以先成功一半。