編寫信息管理體系程序文件時應注意：

程序文件要符合組織業(yè)務運作的實際，并具有可操作性；

可檢查性。實施信息管理體系的一個重要標志就是有效性的驗證。程序文件主要體現(xiàn)可檢查性，必要時附相應的控制標準； 在正式編寫程序文件之前，組織應根據(jù)標準的要求、風險評估的結果及組織的實際對程序文件的數(shù)量及其控制要點進行策劃，確保每個程序之間要有必要的銜接，避免相同的內(nèi)容在不同的程序之間有較大的重復；另外，在能夠?qū)崿F(xiàn)控制的前提下，程序文件數(shù)量和每個程序的篇幅越少越好； 程序文件應得到本活動相關部門負責人同意和接受，必須經(jīng)過審批，注明修訂情況和有效期。

PDCA的應用

P—建立信息管理體系環(huán)境&風險評估

要啟動PDCA 循環(huán)，必須有“啟動器”：提供必須的資源、選擇風險管理方法、確定評審方法、文件化實踐。設計策劃階段就是為了確保正確建立信息管理體系的范圍和詳略程度，識別并評估所有的信息風險，為這些風險制定適當?shù)奶幚碛媱?。策劃階段的所有重要活動都要被文件化，以備將來追溯和控制更改情況。

1．確定范圍和方針

信息管理體系可以覆蓋組織的全部或者部分。無論是全部還是部分，組織都必須明確界定體系的范圍，如果體系僅涵蓋組織的一部分這就變得更重要了。組織需要文件化信息管理體系的范圍，信息管理體系范圍文件應該涵蓋：

確立信息管理體系范圍和體系環(huán)境所需的過程； 戰(zhàn)略性和組織化的信息管理環(huán)境； 組織的信息風險管理方法； 信息風險評價標準以及所要求的保證程度； 信息資產(chǎn)識別的范圍。 信息管理體系也可能在其他信息管理體系的控制范圍內(nèi)。在這種情況下，上下級控制的關系有下列兩種可能：

下級信息管理體系不使用上級信息管理體系的控制：在這種情況下，上級信息管理體系的控制不影響下級信息管理體系的PDCA 活動； 下級信息管理體系使用上級信息管理體系的控制：在這種情況下，上級信息管理體系的控制可以被認為是下級信息管理體系策劃活動的“外部控制”。盡管此類外部控制并不影響下級信息管理體系的實施、檢查、措施活動，但是下級信息管理體系仍然有責任確認這些外部控制提供了充分的保護。 方針是關于在一個組織內(nèi)，指導如何對信息資產(chǎn)進行管理、保護和分配的規(guī)則、指示，是組織信息管理體系的基本法。組織的信息方針，描述信息在組織內(nèi)的重要性，表明管理層的承諾，提出組織管理信息的方法，為組織的信息管理提供方向和支持。

2、定義風險評估的系統(tǒng)性方法

確定信息風險評估方法，并確定風險等級準則。評估方法應該和組織既定的信息管理體系范圍、信息需求、法律法規(guī)要求相適應，兼顧效果和效率。組織需要建立風險評估文件，解釋所選擇的風險評估方法、說明為什么該方法適合組織的要求和業(yè)務環(huán)境，介紹所采用的技術和工具，以及使用這些技術和工具的原因。評估文件還應該規(guī)范下列評估細節(jié)：a.信息管理體系內(nèi)資產(chǎn)的估價，包括所用的價值尺度信息；b. 威脅及薄弱點的識別；c.可能利用薄弱點的威脅的評估，以及此類事故可能造成的影響；d.以風險評估結果為基礎的風險計算，以及剩余風險的識別。