信息安全管理體系���,即Information Security Management System(簡稱ISMS)��,是組織在整體或特定范圍內建立的信息安全方針和目標��,以及完成這些目標所用的方法和體系�����。它是直接管理活動的結果��,表示為方針���、原則��、目標���、方法��、計劃��、活動�����、程序��、過程和資源的集合�����。
ISO27001:2005是建立和維持信息安全管理體系的標準��,標準要求組織通過確定信息安全管理體系范圍�����,制定信息安全方針�����,明確管理職責�����,以風險評估為基礎選擇控制目標與控制措施等一系列活動來建立信息安全管理體系�����;體系一旦建立�����,組織應按體系的規定要求進行運作��,保持體系運行的有效性���;信息安全管理體系應形成一定的文件���,即組織應建立并保持一個文件化的信息安全管理體系�����,其中應闡述被保護的資產��、組織風險管理方法���、控制目標與控制措施���、信息資產需要保護的程度等內容�����。
1. ISMS的范圍
ISMS的范圍可以根據整個組織或者組織的一部分進行定義���,包括相關資產�����、系統�����、應用��、服務���、網絡和用于過程中的技術�����、存儲以及通信的信息等��,ISMS的范圍可以包括:
a) 組織所有的信息系統�����;
b) 組織的部分信息系統�����;
c) 特定的信息系統�����。
此外���,為了保證不同的業務利益���,組織需要為業務的不同方面定義不同的ISMS���。例如���,可以為組織和其他公司之間特定的貿易關系定義ISMS��,也可以為組織結構定義ISMS��,不同的情境可以由一個或者多個ISMS表述���。
2. 組織內部成功實施信息安全管理的關鍵因素
a)反映業務目標的安全方針���、目標和活動���;
b)與組織文化一致的實施安全的方法��;
c)來自管理層的有形支持與承諾���;
d) 對安全要求��、風險評估和風險管理的良好理解���;
e)向所有管理者及雇員推行安全意思���;
f)向所有雇員和承包商分發有關信息安全方針和準則的導則���;
g)提供適當的培訓與教育���;
h)用于評價信息安全管理績效及反饋改進建議��,并有利于綜合平衡的測量系統���。
3. 建立ISMS的步驟
青島科大睿智信息技術有限公司小編提示�����,不同的組織在建立與完善信息安全管理體系時��,可根據自己的特點和具體的情況���,采取不同的步驟和方法�����。但總體來說�����,建立信息安全管理體系一般要經過下列四個基本步驟:
a) 信息安全管理體系的策劃與準備���;
b) 信息安全體系文件的編制���;
c) 信息安全管理體系的運行���;
d) 信息安全管理體系的審核與評審�����。
