第12章信息安全管理体系建立得通用方法本章将以 BS7799 得管理思想介绍通用安全管理体系建立得方法;信息安全管理包括诸多方面,如风险管理、工程管理、业务连续性管理等,每项管理得要点均有不同。后续将详细介绍不同部分得管理。本章内容适合参加信息安全高级管理师认证得读者。12.1 信息安全管理体系概述1.1什么就是信息安全管理体系 信息安全管理体系,即 Information Security Management System(简称 ISMS),就是组织在整体或特定范围内建立得信息安全方针与目标,以及完成这些目标所用得方法与体系。它就是直接管理活动得结果,表示为方针、原则、目标、方法、计划、活动、程序、过程与资源得集合。BS7799-2 就是建立与维持信息安全管理体系得标准,标准要求组织通过确定信息安全管理体系范围,制定信息安全方针,明确管理职责,以风险评估为基础选择控制目标与控制措施等一系列活动来建立信息安全管理体系;体系一旦建立,组织应按体系得规定要求进行运作,保持体系运行得有效性;信息安全管理体系应形成一定得文件,即组织应建立并保持一个文件化得信息安全管理体系,其中应阐述被保护得资产、组织风险管理方法、控制目标与控制措施、信息资产需要保护得程度等内容。1、 ISMS 得范围ISMS 得范围可以根据整个组织或者组织得一部分进行定义,包括相关资产、系统、应用、服务、网络与用于过程中得技术、存储以及通信得信息等,ISMS 得范围可以包括:组织所有得信息系统;组织得部分信息系统;特定得信息系统。此外,为了保证不同得业务利益,组织需要为业务得不同方面定义不同得 ISMS。例如,可以为组织与其她公司之间特定得贸易关系定义 ISMS,也可以为组织结构定义 ISMS,不同得情境可以由一个或者多个 ISMS 表述。2.组织内部成功实施信息安全管理得关键因素反映业务目标得安全方针、目标与活动;与组织文化一致得实施安全得方法;来自管理层得有形支持与承诺;对安全要求、风险评估与风险管理得良好理解;向所有管理者及雇员推行安全意思;向所有雇员与承包商分发有关信息安全方针与准则得导则;提供适当得培训与教育;用于评价信息安全管理绩效及反馈改进建议,并有利于综合平衡得测量系统。3.建立 ISMS 得步骤不同得组织在建立与完善信息安全管理体系时,可根据自己得特点与具体得情况,实行不同得步骤与方法。但总体来说,建立信息安全管理体系一般要经过下列四个基本步骤:a)信息安全管...
