|
|
| 信息安全基本知识(13):什么是信息安全管理体系? |
| 来源 |
|
作者 |
张耀疆 |
日期 |
2007-2-25 11:19:04 |
信息安全管理体系(Information Security Management System,ISMS)是组织整体管理体系的一个部分,是组织在整体或特定范围内建立信息安全方针和目标,以及完成这些目标所用方法的体系。基于对业务风险的认识,ISMS 包括建立、实施、操作、监视、复查、维护和改进信息安全等一系列的管理活动,并且表现为组织结构、策略方针、计划活动、目标与原则、人员与责任、过程与方法、资源等诸多要素的集合。
ISO27001 是建立和维护信息安全管理体系的标准,它要求应该通过这样的过程来建立ISMS 框架:确定体系范围,制定信息安全策略,明确管理职责,通过风险评估确定控制目标和控制方式。体系一旦建立,组织应该实施、维护和持续改进ISMS,保持体系运作的有效性。此外,ISO27001 非常强调信息安全管理过程中文件化的工作,ISMS 的文件体系应该包括安全策略、适用性声明(选择与未选择的控制目标和控制措施)、实施安全控制所需的程序文件、ISMS 管理和操作程序,以及组织围绕ISMS 开展的所有活动的证明材料。 |
| 上一篇:信息安全基本知识(12):信息安全管理应该遵循何种模式? |
| 下一篇:信息安全基本知识(14):如何设立信息安全管理组织? |
|
