信息安全管理体系的建设与运营 随着信息化的快速发展,信息安全问题也越来越受到人们的关注
而信息安全问题的解决并不是一个简单的过程,需要建立起一个完善的信息安全管理体系
一、信息安全管理体系的概念 信息安全管理体系(Information Security Management System, ISMS)是指一个机构通过制定、实施、执行、监控、评估、维护和不断改进信息安全的策略、程序、规程和措施的系统
它的实质是一组相互关联的规划和措施,能够帮助企业和其它组织管理其机密性、完整性和可用性,并达到其商业目标
信息安全管理体系能够帮助企业对其信息进行风险评估和安全管理,保障企业信息安全
二、建设信息安全管理体系的步骤 1
信息安全管理体系的目标应该是保障企业的信息安全,使信息得以保密,完整和可用
信 息 安 全 管 理 体 系 的 建 设 与 运 营 --第 1页信 息 安 全 管 理 体 系 的 建 设 与 运 营 --第 1页2
根据企业的具体情况,制定相应的信息安全策略,确定信息安全管理的原则、政策和目标
根据国际信息安全标准,如 ISO/IEC 27001 等,制定企业信息安全管理的标准
根据信息安全标准和策略,制定相应的程序并推广到全员,保证员工的行为符合信息安全管理体系的规定
为使员工能够理解和遵守信息安全政策,应对员工进行培训,提高员工对信息安全的重视程度
实施信息安全管理体系
在整个企业上下不断推广、执行信息安全管理
并对存在的问题不断改进
三、信息安全管理体系的运营 1
确定风险评估标准
风险评估体系要详细记录和管理企业中操作和数据的风险,并要确保这些风险评估标准须定期更新
信 息 安 全 管 理 体 系 的 建 设 与 运 营 --第 2页信 息 安 全 管 理 体 系 的 建