信息安全管理体系ISMS.PPT

建立完善的安全治理结构，为信息安全提供战略保证； 审视组织的业务目标，确定安全需求，并建立相应的总体安全策略； 在风险评估的基础上，进行安全规划； 建立并运行信息安全体系，初步达到粗粒度的信息安全； 建立“人力防火墙”与“技术防火墙”,在细粒度上保证信息安全； 实施阶段性的信息系统审计，在持续不断的改进过程中保证信息的安全性、完整性、可用性； 持续监控业务与安全环境的变化，并对安全策略进行及时调整。 例如：通过在组织中建立IT治理委员会，使IT战略、IT规划、信息安全、IT绩效、IT审计等问题通过建立一个有主要领导参加的、跨部门的、有广泛代表性和执行力的委员会进行讨论与决策，使IT决策、IT战略、信息安全等问题与企业战略保持一致，这是IT成功的关键，是实现信息安全的基础。 组织的IT实践人员在IT原则的指导下，通过对组织业务战略和IT规划的详细分析，发现并分析组织业务所处的环境，了解IT基础设施及应用系统可能存在的薄弱点，在此基础上制定出适宜的安全政策、保障措施及安全投资计划。 ISO17799差距分析调研问卷主要涵盖了ISO17799中的11个领域和133个控制项，由各部门参与风险评估的人员填写，从主观角度了解各层面人员从自身角度出发对于组织安全现状的认识和与标准的差距感受。 ISMS是以风险评估为前提，以风险管理为基础，通过建立一整套文件化的管理制度，包括方针、策略、程序文件，操作手册，记录等，在组织中以PDCA的方式实施，把风险控制到组织可接受的水平。 类似于质量管理体系的ISO9000标准，信息安全管理体系也有相应的国际标准ISO17799:2005 ISO27001:2005。国信办根据本次试点工作情况将推荐其为中国国家标准。 有一个事实摆在面前，伟大的ISO9000管理标准的诞生，突破了传统的质量管理实施的技术和方法，使质量从一个专业管理走向全面管理的辉煌大道。 作为一个现代企业其运作是一个完整的系统，是由战略管理、财务管理、人力资源管理、质量管理、环境管理、职业安全健康管理、信息管理、营销管理和客户管理等子系统集合而成。作为一个企业，其运作是一个完整的系统，其各项管理运作必须是协调统一的，从ISO9000诞生为管理提供了一种新的思维程式，人们逐步运用到各项专业管理中，环境的ISO14000、职业安全管理的OHSAS18000、信息安全的ISO17799，培训管理体系的ISO100015等衍生出的管理标准，可以覆盖整个企业的各个专业管理单元。 但是在实施ISO9000时由于人们对标准认识的局限性，由于建立不同的管理体系人为的将原本就很脆弱的管理系统拆分的七零八落，增加许多不必要的接口，是违背管理体系的宗旨的。ISO9000的2000版提出的八项管理原则，充分体现了其的整合的必要性。这也为企业标准化战略体系的建立产生了一些跗面的影响。 标准化工作如果忽略了合格评定的环节，标准的质量将无法被认可，而又没有直接与经济效益挂钩的情况下，开创被公认的局面相当难。所以企业标准化工作者必须了解和控制认证机构的影响力。 作为认证公司可以只谈ISO9001、ISO14001和职业安全健康指南，但是作为企业就要依照认证标准的所有配套标准建立体系，不可偏废。因为企业的最终目的是提高企业价值，获取效益，生存发展，回报社会和股东。 不包括财务，不涉及决策、不考虑绩效的管理体系是企业、领导、员工所不欢迎和接受的。教训已经产生，管理体系不被领导重视是许多质量人员所抱怨的，根本原因在于你没有触及企业核心，你干的事无足轻重，你一年发挥一次作用足以。审核时表现一会，其他时候没你什么事。 把管理分为体系内和体系外，仅对其认为与产品有关的部分控制，绝对是投机的行为，严重违反了企业的运作规律，可以说是推行管理体系的一大失误，贻害多半个年代，花巨大的代价还没有将体系改造过来。 对于党政工团等被排斥在外，也是不对的。外国没有但职能有，是在体系内的，中国无非将职能承担者改个名字就认为与管理体系无关。错误。 好在环境和职业安全健康管理体系一经推行就要求全面进入 1984年中法合作建设大亚湾核电站，法国派来的第一位专家不是核电专家也不是建筑专家而是文件专家，负责编制文件代码。当时，很多人不理解为什么派个文件专家来，扬言要把文件专家退回去，但法方坚持标准必须先行。现在，不论是大亚湾核电站还是岭澳核电站采用的都是那位法国专家编制的文件标准。 ISMS “木桶”由哪些“板”组成？ 类似于质量管理体系的ISO9000标准，ISMS也有相应的国际标准ISO27001，它确定了ISMS的11个安全领域及133个相应的控制措施。 ISO17799及ISO27001的内容 ISO17799:2005 信息安全管理实施规范，主要是给负责开发的人员作为参考文档使用，从而