信息安全管理體系(Information Security Management Systems,以下簡稱ISMS)是組織整體管理體系的一個部分,是基于風險評估建立、實施、運行、監視、評審、保持和持續改進信息安全等一系列的管理活動,是組織在整體或特定范圍內建立信息安全方針和目標,以及完成這些目標所用的方法的體系。
ISO27001是建立和維護信息安全管理體系的標準,它要求組織通過一系列的過程,如確定信息安全管理體系范圍,制定信息安全方針和策略,明確管理職責,以風險評估為基礎選擇控制目標和控制措施等,是組織達到動態的、系統的、全員參與的、制度化的,以預防為主的信息安全管理方式。
組織ISMS的設計和實施受組織需求、目標、安全需求、應用的過程以及組織規模和結構的影響。
ISMS利用風險分析管理工具,結合企業資產列表和威脅來源的調查分析及系統安全弱點評估等結果,并綜合評估影響企業整體的因素,來制定適當的信息安全政策與信息安全作業準則,從而降低潛在的風險危機。
ISMS適用于所有類型的組織(例如:商業企業、政府機構、非盈利組織),包括但不限于
——銀行、證券、保險等金融機構;
——交通、能源等大型國有企業;
——互聯網數據中心(IDC)服務提供商;
——軟件和信息技術服務企業;
——公共管理、社會保障和社會組織等。
企業建立信息安全管理體系和獲取認證的意義:
? 通過制定和實施企業ISMS能夠規范企業員工的行為,保證各種技術手段的有效實施,從整體上統籌安排各種軟硬件,保證信息安全體系協同工作的高效、有序和經濟性。
? ISMS不僅可以在信息安全事故發生后能夠及時采取有效的措施,防止信息安全事故帶來巨大的損失,而更重要的是ISO27001信息安全管理體系能夠預防和避免大多數的信息安全事件的發生。
? ISMS就是對信息安全風險進行識別、分析、采取措施,將風險降到可接受水平并維持該水平的過程。企業的信息安全管理不是一勞永逸的,由于新的威脅不斷出現,信息安全管理是一個相對的、動態的過程,企業能做到的就是不斷改進自身的信息安全狀態,將信息安全風險控制在可接受的范圍之內,獲得企業現有條件下和資源能力范圍內最大程度的安全。
? 組織可以參照信息安全管理模型,按照先進的信息安全管理標準建立組織完整的信息安全管理體系并實施與保持,達到動態的、系統的、全員參與、制度化的、以預防為主的信息安全管理方式,用最低的成本,使信息風險的發生概率和結果降低到可接受水平,并采取措施保證業務不會因風險的發生而中斷。組織建立、實施與保持信息安全管理體系將會:
* 強化員工的信息安全意識,規范組織信息安全行為;
* 對組織的關鍵信息資產進行全面系統的保護,維持競爭優勢;
* 在信息系統受到侵襲時,確保業務持續開展并將損失降到最低程度;
* 使組織的生意伙伴和客戶對組織充滿信心。