isms信息安全管理体系 .pdfVIP

成功是失败之母，一切都是努力的结果

信息安全管理体系

从维基百科，自由的百科全书

跳转到：导航，搜索

计划-实施-检查-行动循环

ENISA：风险管理与主义活动

信息安全管理体系（ISMS）是一个与有关的政策设置的信息安全管理或资讯科

技有关的风险。产生的成语主要出ISO27001。

而背后的信息安全管理体系的主导原则是，一个组织应制定，实施和维护的政策，

流程和系统来管理其风险的一整套信息资产，从而确保信息安全风险可接受的

水平。

目录

[hide]

•1ISMS描述

•2需要一个ISMS

•3ISMS的关键成功因素

•4参见

•5笔记和参考

1

页脚内容

成功是失败之母，一切都是努力的结果

•6外部链接

[编辑]ISMS描述

如同所有的管理流程，一个ISMS必须保持有效和长期有效的，适应在内部组织

和外部环境的变化。ISO/IEC27001，因此采用了典型的“计划-实施-检查-

行动”（PDCA）或戴明循环，方法：

•该计划阶段有关设计的ISMS，信息安全风险评估，并选择适当的控制。

•该做阶段包括实施和操作控制。

•检查阶段的目标是审查和评价的ISMS性能（效率和效益）。

•在该法的阶段，在必要时进行更改，以使ISMS回峰值性能。

最有名的ISMS中介绍了ISO/IEC27001和ISO/IEC27002及相关标准共同

出版ISO和IEC。

另一种是竞争的ISMS信息安全论坛的良好实务标准（SOGP）。这是更最佳实

践为基础的，因为它从ISF的行业经验来。

其他框架，如COBIT和ITIL的安全问题联系，但主要是面向朝着建立一个信息

管理框架和IT更普遍。COBIT框架有一个同伴IT风险致力于信息安全。

有一个集中的管理和保护信息系统在铭记，它是企业和组织的问题，不仅是一个

技术问题，组织问题多项措施：

•联邦信息安全管理法案2002年是美国联邦法律在2002年颁布的重要性，

承认信息安全对美国经济和国家安全利益。[1]该法要求每个联邦机构制

定，文件，实施机构范围内的计划，以提供信息安全的信息和信息系统支

持的业务和资产的机构，包括提供或由其他机构管理的承包，或其他来

源。[1][2]

[3]

•对企业安全管理实施指南的卡耐基梅隆大学软件工程研究所CERT旨

在帮助企业领导人实行有效的方案，以管理信息技术（IT）和信息安全。

我们的目标是帮助您做出的，如调整组织结构，指定的角色和职责，分配

资源（包括证券投资），风险管理，测量结果和测量的安全审计和审查充

足GES许多重要的组成部分消息灵通的决定。在提升安全治理水平关注

的目的是培养周到，安全意识谁是更好地保护企业的数字资产，业务，其

市场地位，其声誉的领导人。

•一个系统安全工程能力成熟度模型是标准化ISO/IEC_21827。

•信息安全管理成熟度模型（如ISM立方或ISM3）是另一种形式的ISMS。

ISM3基础上，如标准ISO20000，ISO9001，CMM，ISO/IEC27001，

而一般的信息管理和安全概念。ISM3可以被用来作为一个9001兼容ISO

ISMS模板。虽然ISO/IEC27001是控制的基础，ISM3是过程的基础，

包括过程度量。ISM3是安全管理（如何实现的错误，攻击和意外事故，

2

页脚内容