第7章信息安全管理体系概述.ppt

　　　　　　信息安全管理体系(ISMS)是组织在一定范围内建立的信息安全方针和目标，以及为实现这些方针和目标所采用的方法和文件体系。 　　组织应在所面临风险的环境下，针对其整体业务活动建立、实施、运行、监视、评审、保持和改进文件化的信息安全管理体系。这个过程在组织管理层的直接授权下，由信息安全管理体系领导小组来负责实施，通过制定一系列的文件，建立一个系统化、程序化与文件化的管理体系，来保障组织的信息安全。　　信息安全管理体系实施过程的依据是BS 7799-2或ISO/IEC 27001:2005《信息技术—安全技术—信息安全管理体系要求》，与此对应的我国国家标准是GB/T 22080—2008《信息技术—安全技术—信息安全管理体系要求》。 　　在信息安全管理体系实施过程中，采用了“规划(Plan)-实施(Do)-检查(Check)-处置(Act)”(PDCA)循环模型。PDCA循环是由美国质量管理专家戴明(W.E.Deming)提出来的，所以又称为“戴明环”(Deming Cycle)，它是有效进行任何一项工作的合乎逻辑的工作程序，在质量管理中应用广泛，并取得了很好的效果。　　实际上，建立和管理信息安全管理体系与其他管理体系一样， 需要采用过程的方法开发、实施和改进一个组织的ISMS的有效性，而PDCA循环是实施信息安全管理的有效模式，可应用于所有的信息安全管理体系过