ISMS信息安全管理体系建立方法VIP免费

第1页共87页编号：时间：2021年x月x日书山有路勤为径，学海无涯苦作舟页码：第1页共87页中国3000万经理人首选培训网站更多免费资料下载请进http://www.55top.com好好学习社区信息安全管理体系建立方法以BS7799的管理思想介绍通用安全管理体系建立的方法信息安全管理包括诸多方面如风险管理、工程管理、业务连续性管理等每项管理的要点均有不同。后续将详细介绍不同部分的管理。1信息安全管理体系概述1.1什么是信息安全管理体系信息安全管理体系即InformationSecurityManagementSystem(简称ISMS)是组织在整体或特定范围内建立的信息安全方针和目标以及完成这些目标所用的方法和体系。它是直接管理活动的结果表示为方针、原则、目标、方法、计划、活动、程序、过程和资源的集合。BS77992是建立和维持信息安全管理体系的标准标准要求组织通过确定信息安全管理体系范围制定信息安全方针明确管理职责以风险评估为基础选择控制目标与控制措施等一系列活动来建立信息安全管理体系体系一旦建立组织应按体系的规定要求进行运作保持体系运行的有效性信息安全管理体系应形成一定的文件即组织应建立并保持一个文件化的信息安全管理体系其中应阐述被保护的资产、组织风险管理方法、控制目标与控制措施、信息资产需要保护的程度等内容。1.ISMS的范围ISMS的范围可以根据整个组织或者组织的一部分进行定义包括相关资产、系统、应用、服务、网络和用于过程中的技术、存储以及通信的信息等ISMS的范围可以包括组织所有的信息系统组织的部分信息系统特定的信息系统。此外为了保证不同的业务利益组织需要为业务的不同方面定义不同的ISMS。例如可以为组织和其他公司之间特定的贸易关系定义ISMS也可以为组织结构定义ISMS不同的情境可以由一个或者多个ISMS表述。2.组织内部成功实施信息安全管理的关键因素反映业务目标的安全方针、目标和活动与组织文化一致的实施安全的方法来自管理层的有形支持与承诺第2页共87页第1页共87页编号：时间：2021年x月x日书山有路勤为径，学海无涯苦作舟页码：第2页共87页对安全要求、风险评估和风险管理的良好理解向所有管理者及雇员推行安全意思向所有雇员和承包商分发有关信息安全方针和准则的导则提供适当的培训与教育用于评价信息安全管理绩效及反馈改进建议并有利于综合平衡的测量系统。3.建立ISMS的步骤不同的组织在建立与完善信息安全管理体系时可根据自己的特点和具体的情况采取不同的步骤和方法。但总体来说建立信息安全管理体系一般要经过下列四个基本步骤a)信息安全管理体系的策划与准备www.docin.com中国3000万经理人首选培训网站更多免费资料下载请进http://www.55top.com好好学习社区b)信息安全体系文件的编制c)信息安全管理体系的运行d)信息安全管理体系的审核与评审。1.2信息安全管理体系的作用1.ISMS的特点信息安全管理管理体系是一个系统化、程序化和文件化的管理体系。该体系具有以下特点体系的建立基于系统、全面、科学的安全风险评估体现以预防控制为主的思想强调遵守国家有关信息安全的法律法规及其他合同方要求强调全过程和动态控制本着控制费用与风险平衡的原则合理选择安全控制方式强调保护组织所拥有的关键性信息资产而不是全部信息资产确保信息的机密性、完整性和可用性保持组织的竞争优势和商务运作的持续性。2.实施ISMS的作用组织建立、实施与保持信息安全管理体系将会产生如下作用强化员工的信息安全意识规范组织信息安全行为对组织的关键信息资产进行全面体统的保护维持竞争优势在信息系统受到侵袭时确保业务持续开展并将损失降到最低程度使组织的生意伙伴和客户对组织充满信心如果通过体系认证表明体系符合标准证明组织有能力保证重要信息提高组织的知名度与信第3页共87页第2页共87页编号：时间：2021年x月x日书山有路勤为径，学海无涯苦作舟页码：第3页共87页任度促使管理层贯彻信息安全保障体系组织可以参照信息安全管理模型按照先进的信息安全管理标准BS7799建立组织完...