第1页共31页编号:时间:2021年x月x日书山有路勤为径,学海无涯苦作舟页码:第1页共31页ISO/IEC27001知识体系1.ISMS概述................................................................................................................................31.1什么是ISMS............................................................................................................31.2为什么需要ISMS.....................................................................................................41.3如何建立ISMS.........................................................................................................62.ISMS标准..............................................................................................................................112.1ISMS标准体系-ISO/IEC27000族简介..............................................................112.2信息安全管理实用规则-ISO/IEC27002:2005介绍...........................................162.3信息安全管理体系要求-ISO/IEC27001:2005介绍...........................................203.ISMS认证..............................................................................................................................243.1什么是ISMS认证..................................................................................................243.2为什么要进行ISMS认证......................................................................................243.3ISMS认证适合何种类型的组织...........................................................................253.4全球ISMS认证状况及发展趋势..........................................................................263.5如何建设ISMS并取得认证..................................................................................311.ISMS概述1.1什么是ISMS信息安全管理体系(InformationSecurityManagementSystem,简称为ISMS)是1998年前后从英国发展起来的信息安全领域中的一个新概念,是管理体系(ManagementSystem,MS)思想和方法在信息安全领域的应用。近年来,伴随着ISMS国际标准的制修订,ISMS迅速被全球接受和认可,成为世界第2页共31页第1页共31页编号:时间:2021年x月x日书山有路勤为径,学海无涯苦作舟页码:第2页共31页各国、各种类型、各种规模的组织解决信息安全问题的一个有效方法。ISMS认证随之成为组织向社会及其相关方证明其信息安全水平和能力的一种有效途径。在ISMS的要求标准ISO/IEC27001:2005(信息安全管理体系要求)的第3章术语和定义中,对ISMS的定义如下:ISMS(信息安全管理体系):是整个管理体系的一部分。它是基于业务风险方法,来建立、实施、运行、监视、评审、保持和改进信息安全的。注:管理体系包括组织结构、方针策略、规划活动、职责、实践、程序、过程和资源。这个定义看上去同其他管理体系的定义描述不尽相同,但我们也可以用ISOGUIDE72:2001(Guidelinesforthejustificationanddevelopmentofmanagementsystemstandards管理体系标准合理性和制定导则)中管理体系的定义,将ISMS描述为:组织在信息安全方面建立方针和目标,并实现这些目标的一组相互关联、相互作用的要素。ISMS同其他MS(如QMS、EMS、OHSMS)一样,有许多共同的要素,其原理、方法、过程和体系的结构也基本一致。单纯从定义理解,可能无法立即掌握ISMS的实质,我们可以把ISMS理解为一台“机器”,这台机器的功能就是制造“信息安全”,它由许多“部件”(要素)构成,这些“部件”包括ISMS管理机构、ISMS文件以及资源等,ISMS通过这些“部件”之间的相互作用来实现其“保障信息安全”的功能。1.2为什么需要ISMS今天,我们已经身处信息时代,在这个时代,“计算机和网络”已经成为组织重要的生产工具,“信息”成为主要的生产资料和产品,组织的业务越来越依赖计算机...