1.3.3 信息安全管理体系
信息安全管理体系(Information Security Management System,ISMS)是基于业务风险方法来建立、实施、运行、监视、评审、保持和改进信息安全的一套管理体系,是整个管理体系的一部分。管理体系包括组织结构、方针策略、规划活动、职责、实践、程序、过程和资源。
ISMS概念的提出源于BS7799-2,也就是后来的ISO/IEC 27001。ISO/IEC 27001提出了在组织整体业务活动和所面临风险的环境下建立、实施、运行、监视、评审、保持和改进ISMS的PDCA模型,对PDCA模型的每个阶段的任务及注意事项、ISMS的文件要求、管理职责做了较为详细的说明,并对内部ISMS审核、ISMS管理评审、ISMS改进也分别做了说明。ISMS的PDCA持续改进过程如图1-2所示。
图1-2 持续改进的PDCA图
图1-2中PDCA含义分别如下:
(1)P(plan):计划,确定方针和目标,确定活动计划。
(2)D(do):实施,实现计划中的内容。
(3)C(check):检查,总结执行计划的结果,注意效果,找出问题。
(4)A(action):处理总结结果,成功的经验加以肯定、推广和标准化;失败的教训加以总结,避免重现;未解决的问题进入下一循环。
目前在世界各国广泛推广的信息安全管理体系认证就是ISO/IEC 27001认证,对组织来说,通过ISO/IEC 27001认证,符合ISO/IEC 27001标准并且获得相应证书,其本身并不能证明组织达到了100%的安全,除非停止所有的组织活动。但不管怎么说,作为一个全球公认的信息安全管理标准,ISO/IEC 27001能给组织带来的将是由里到外全面的价值提升,如理顺安全管理职责、提高组织信誉、提高安全意识、保证核心业务的连续性、减少风险等。
免责声明:以上内容源自网络,版权归原作者所有,如有侵犯您的原创版权请告知,我们将尽快删除相关内容。
