信息安全管理體系(ISMS)簡(jiǎn)介

　　1.什么是信息安全管理體系(Information Security Management System，簡(jiǎn)稱:ISMS)？

　　按照其定義，就是：組織在整體或特定范圍內(nèi)建立信息安全方針和目標(biāo)，以及完成這些目標(biāo)所用方法的體系。

　　國(guó)際標(biāo)準(zhǔn)組織(ISO)為信息安全管理體系(ISMS)預(yù)留了ISO/IEC 27000系列編號(hào)，如同ISO9000系列標(biāo)準(zhǔn)一樣，ISO/IEC 27000系列同樣也是由一系列的國(guó)際標(biāo)準(zhǔn)所組成的，比如：《ISO27000原理與術(shù)語》、《ISO27001信息安全管理體系——要求》、《ISO 27002信息技術(shù)——安全技術(shù)——信息安全管理實(shí)踐規(guī)范》等等，其中ISO27001是ISO27000系列的主標(biāo)準(zhǔn)，各類組織可以按照該標(biāo)準(zhǔn)的要求建立自己的信息安全管理體系(ISMS)，并通過認(rèn)證。而ISO27001起源于英國(guó)標(biāo)準(zhǔn)BS7799的第二部分，即BS7799-2《信息安全管理體系規(guī)范》。并經(jīng)過十年的不斷改版，于2005年被國(guó)際標(biāo)準(zhǔn)化組織(ISO)轉(zhuǎn)化為正式的國(guó)際標(biāo)準(zhǔn)，于2005年10月15日發(fā)布為ISO/IEC 27001:2005。該標(biāo)準(zhǔn)可用于組織的信息安全管理體系的建立和實(shí)施，保障組織的信息安全，采用PDCA過程方法，基于風(fēng)險(xiǎn)評(píng)估的風(fēng)險(xiǎn)管理理念，全面系統(tǒng)地持續(xù)改進(jìn)組織的信息安全管理體系。

　　2.為什么需要信息安全，信息安全的特性是什么？

　　當(dāng)今社會(huì)信息如其他重要資產(chǎn)一樣，對(duì)于企業(yè)(組織)也是一種資產(chǎn)，同樣具有價(jià)值，因而需要被妥善地保護(hù)。信息安全是為了信息避免一系列威脅，保障了組織商務(wù)的連續(xù)性，最大限度地減小組織的商務(wù)損失，順利獲取投資和商務(wù)回報(bào)。

　　作為一種特殊的資產(chǎn)，信息要想保證安全，有三個(gè)主要特性必須考慮：

　　A.機(jī)密性(Confidentiality)：指只有授權(quán)用戶可以獲取信息。

　　B.完整性(Integrality)：指信息在輸入和傳輸?shù)倪^程中，不被非法授權(quán)修改和破壞，保證數(shù)據(jù)的一致性。

　　C.可用性(Availability)：指信息的可靠度。

　　ISMS就是基于上述三個(gè)特性為目標(biāo)，通過建立ISMS模型和管理過程，利用技術(shù)和管理的方法來達(dá)到組織業(yè)務(wù)的連續(xù)性。

　　3.建立信息安全管理體系(ISMS)對(duì)組織的重要意義

　　組織可以參照信息安全管理模型，按照先進(jìn)的信息安全管理標(biāo)準(zhǔn)ISO 27001標(biāo)準(zhǔn)建立組織完整的信息安全管理體系并實(shí)施與保持，達(dá)到動(dòng)態(tài)的、系統(tǒng)的、全員參與、制度化的、以預(yù)防為主的信息安全管理方式，用最低的成本，使信息風(fēng)險(xiǎn)的發(fā)生概率和結(jié)果降低到可接受水平，并采取措施保證業(yè)務(wù)不會(huì)因風(fēng)險(xiǎn)的發(fā)生而中斷。組織建立、實(shí)施與保持信息安全管理體系將會(huì)

　　a強(qiáng)化員工的信息安全意識(shí)，規(guī)范組織信息安全行為；

　　b對(duì)組織的關(guān)鍵信息資產(chǎn)進(jìn)行全面系統(tǒng)的保護(hù)，維持競(jìng)爭(zhēng)優(yōu)勢(shì)；

　　c在信息系統(tǒng)受到侵襲時(shí)，確保業(yè)務(wù)持續(xù)開展并將損失降到最低程度；

　　d使組織的生意伙伴和客戶對(duì)組織充滿信心。

　　4.基于PDCA模型建立ISMS

　　5.建立和實(shí)施ISMS的流程