信息安全管理体系建立通用方法.pdfVIP

第 章 信息安全管理体系建立的通用方法 12 本章将以BS7799 的管理思想介绍通用安全管理体系建立的方法；信息安全管理包括诸 多方面，如风险管理、工程管理、业务连续性管理等，每项管理的要点均有不同。后续将详 细介绍不同部分的管理。本章内容适合参加信息安全高级管理师认证的读者。 12.1 信息安全管理体系概述 12.1.1什么是信息安全管理体系 信息安全管理体系，即Information Security Management System(简称ISMS)，是组织在 整体或特定范围内建立的信息安全方针和目标，以及完成这些目标所用的方法和体系。它是 直接管理活动的结果，表示为方针、原则、目标、方法、计划、活动、程序、过程和资源的 集合。 BS7799－2 是建立和维持信息安全管理体系的标准，标准要求组织通过确定信息安全管 理体系范围，制定信息安全方针，明确管理职责，以风险评估为基础选择控制目标与控制措 施等一系列活动来建立信息安全管理体系；体系一旦建立，组织应按体系的规定要求进行运 作，保持体系运行的有效性；信息安全管理体系应形成一定的文件，即组织应建立并保持一 个文件化的信息安全管理体系，其中应阐述被保护的资产、组织风险管理方法、控制目标与 控制措施、信息资产需要保护的程度等内容。