信息安全管理體系,即Information Security Management System(簡稱ISMS),是組織在整體或特定范圍內(nèi)建立的信息安全方針和目標,以及完成這些目標所用的方法和體系。它是直接管理活動的結(jié)果,表示為方針、原則、目標、方法、計劃、活動、程序、過程和資源的集合。
ISO27001:2005是建立和維持信息安全管理體系的標準,標準要求組織通過確定信息安全管理體系范圍,制定信息安全方針,明確管理職責(zé),以風(fēng)險評估為基礎(chǔ)選擇控制目標與控制措施等一系列活動來建立信息安全管理體系;體系一旦建立,組織應(yīng)按體系的規(guī)定要求進行運作,保持體系運行的有效性;信息安全管理體系應(yīng)形成一定的文件,即組織應(yīng)建立并保持一個文件化的信息安全管理體系,其中應(yīng)闡述被保護的資產(chǎn)、組織風(fēng)險管理方法、控制目標與控制措施、信息資產(chǎn)需要保護的程度等內(nèi)容。
1. ISMS的范圍
ISMS的范圍可以根據(jù)整個組織或者組織的一部分進行定義,包括相關(guān)資產(chǎn)、系統(tǒng)、應(yīng)用、服務(wù)、網(wǎng)絡(luò)和用于過程中的技術(shù)、存儲以及通信的信息等,ISMS的范圍可以包括:
? a) 組織所有的信息系統(tǒng);
? b) 組織的部分信息系統(tǒng);
? c) 特定的信息系統(tǒng)。
此外,為了保證不同的業(yè)務(wù)利益,組織需要為業(yè)務(wù)的不同方面定義不同的ISMS。例如,可以為組織和其他公司之間特定的貿(mào)易關(guān)系定義ISMS,也可以為組織結(jié)構(gòu)定義ISMS,不同的情境可以由一個或者多個ISMS表述。
2. 組織內(nèi)部成功實施信息安全管理的關(guān)鍵因素
? a)反映業(yè)務(wù)目標的安全方針、目標和活動;
? b)與組織文化一致的實施安全的方法;
? c)來自管理層的有形支持與承諾;
? d) 對安全要求、風(fēng)險評估和風(fēng)險管理的良好理解;
? e)向所有管理者及雇員推行安全意思;
? f)向所有雇員和承包商分發(fā)有關(guān)信息安全方針和準則的導(dǎo)則;
? g)提供適當(dāng)?shù)呐嘤?xùn)與教育;
? h)用于評價信息安全管理績效及反饋改進建議,并有利于綜合平衡的測量系統(tǒng)。
3. 建立ISMS的步驟
不同的組織在建立與完善信息安全管理體系時,可根據(jù)自己的特點和具體的情況,采取不同的步驟和方法。但總體來說,建立信息安全管理體系一般要經(jīng)過下列四個基本步驟:
a) 信息安全管理體系的策劃與準備;
b) 信息安全體系文件的編制;
c) 信息安全管理體系的運行;
d) 信息安全管理體系的審核與評審。 |
 |
|
手機站
您當(dāng)前位置是:產(chǎn)品大全 >> 商務(wù)服務(wù) >>
認證服務(wù)
免責(zé)聲明:以上所展示的信息由會員自行提供,內(nèi)容的真實性、準確性和合法性由發(fā)布會員負責(zé),www.qy6.com對此不承擔(dān)任何責(zé)任。如有侵犯您的權(quán)益,請來信通知刪除。
聯(lián)系信息