信息安全管理.pdfVIP

信息安全管理 概述 信息安全管理体系 （Information Security Management System ，简称为 ISMS ）是 1998 年前后从英国发展起来的信息安全领域中的一个新概念， 是管理体系 （Management System ， MS ）思想和方法在信息安全领域的应用。近年来，伴随着 ISMS 国际标准的制修订， ISMS 迅速被全球接受和认可，成为世界各国、各种类型、各种规模的组织解决信息安全问题的一 个有效方法。 ISMS 认证随之成为组织向社会及其相关方证明其信息安全水平和能力的一种 有效途径。 [1] 信息安全管理体系是组织机构单位按照信息安全管理体系相关标准的要求，制定信息安 全管理方针和策略，采用风险管理的方法进行信息安全管理计划、实施、评审检查、改进的 信息安全管理执行的工作体系。 信息安全管理体系是按照 ISO/IEC 27001 标准《信息技术 安 全技术 信息安全管理体系要求》的要求进行建立的， ISO/IEC 27001 标准是由 BS7799-2 标 准发展而来。 信息安全管理体系 ISMS 是建立和维持信息安全管理体系的标准，标准要求组织通过确 定信息安全管理体系范围、制定信息安全方针、明确管理职责、以风险评估为基础选择控制 目标与控制方式等活动建立信息安全管理体系；体系一旦建立组织应按体系规定的要求进行 运作，保持体系运作的有效性；信息安全管理体系应形成一定的文件，即组织应建立并保持 一个文件化的信息安全管理体系，其中应阐述被保护的 资产 、组织风险管理的方法、控制目 标及控制方式和需要的保证程度。 编写依据 简述 组织对信息安全管理体系的采用是一个战略决定。因为按照 BS 7799-2:2002 建立的信 息安全管理体系需要在组织内形成良好的信息安全文化氛围，它涉及到组织全体成员和全部 过程，需要取得 管理者 的足够的重视和有力的支持。 1)体系标准 要求：BS 7799-2:2002 《信息安全管理体系规范》 控制方式指南： ISO/IEC17799:2000 《信息技术-信息安全管理实施细则》 2) 要求 相关法律、法规及其他要求。 3) 惯例、规章、制度 包括信息安全管理手册、适用性说明、管理制度与规范、业务流程和记录表单等； 4) 其他的文件 [编辑] 遵循原则 在编写程序文件时应遵循下列原则： 程序文件一般不涉及纯技术性的细节， 细节通常在工作指令或作业指导书中规定； 程序 文件是针对影响信息安全的各项活动的目标和执行做出的规定，它应阐明影响信息安全的管 理人员、执行人员、验证或评审人员的职责、权力和相互关系，说明实施各种不同活动的方 式、将采用的文件及将采用的控制方式； 程序文件的范围和详细程度应取决于安全工作的复 杂程度、所用的方法以及这项活动涉及人员所需的技能、 素质和培训程度； 程序文件应简练、 明确和易懂，使其具有可操作性和可检查性； 程序文件应保持统一的结构与编排格式，便于 文件的理解与使用。 注意事项 编写信息安全管理体系程序文件时应注意： 程序文件要符合组织业务运作的实际，并具有可操作性； 可检查性。实施信息安全管理体系的一个重要标志就是有效性的验证。程序文件主要体 现可检查性，必要时附相应的 控制标准 ；在正式编写程序文件之前， 组织应根据标准的要求、 风险评估 的结果及组织的实际对程序文件的数量及其控制要点进行策划，确保每个程序之间 要有必要的衔接，避免相同的内容在不同的程序之间有较大的重复；另外，在能够实现安全 控制的前提下， 程序文件数量和每个程序的篇幅越少越好； 程序文件应得到本活动相关部门 负责人同意和接受，必须经过审批，注明修订情况和有效期。 模式应用 PDCA 简介