ISO/IEC27001 知识体系1。ISMS 概述 31.1 什么是 ISMS31。2 为什么需要 ISMS41。3 如何建立 ISMS62。ISMS 标准 112。1ISMS 标准体系-ISO/IEC27000 族简介 112。2 信息安全管理有用规则-ISO/IEC27002:2025 介绍 162。3 信息安全管理体系要求-ISO/IEC27001:2025 介绍 203.ISMS 认证 243.1 什么是 ISMS 认证 243。2 为什么要进行 ISMS 认证 243。3ISMS 认证适合何种类型的组织 253.4 全球 ISMS 认证状况及进展趋势 263.5 如何建设 ISMS 并取得认证 311. ISMS 概述1.1 什么是 ISMS信 息 安 全 管 理 体 系 ( Information Security Management System , 简 称 为ISMS)是 1998 年前后从英国进展起来的信息安全领域中的一个新概念,是管理体系(Management System,MS)思想和方法在信息安全领域的应用。近年来,伴随着 ISMS 国际标准的制修订,ISMS 迅速被全球接受和认可,成为世界各国、各种类型、各种规模的组织解决信息安全问题的一个有效方法.ISMS 认证随之成为组织向社会及其相关方证明其信息安全水平和能力的一种有效途径.在 ISMS 的要求标准 ISO/IEC27001:2025(信息安全管理体系 要求)的第3 章术语和定义中,对 ISMS 的定义如下:ISMS(信息安全管理体系):是整个管理体系的一部分。它是基于业务风险方法,来建立、实施、运行、监视、评审、保持和改进信息安全的。注:管理体系包括组织结构、方针策略、规划活动、职责、实践、程序、过程和资源。这个定义看上去同其他管理体系的定义描述不尽相同,但我们也可以用ISOGUIDE 72:2001(Guidelines for the justification and development of management system standards 管理体系标准合理性和制定导则)中管理体系的定义,将 ISMS描述为:组织在信息安全方面建立方针和目标,并实现这些目标的一组相互关联、相互作用的要素。ISMS 同其他 MS(如 QMS、EMS、OHSMS)一样,有许多共同的要素,其原理、方法、过程和体系的结构也基本一致。单纯从定义理解,可能无法立即掌握 ISMS 的实质,我们可以把 ISMS 理解为一台“机器”,这台机器的功能就是制造“信息安全”,它由许多“部件”(要素)构成,这些“部件”包括 ISMS 管理机构、ISMS 文件以及资源等,ISMS 通过这些“部件”之间的相互作用来实现其“保障信息安全”的功能。1.2 为什么需要 ISMS今日,我们已经身处信息时代,在这个时代,“计...
