信息安全体系是什么
信息安全体系是有关信息安全管理的国际标准。最初源于英国标准BS7799,经过十年的不断改版,终于在2005年被国际标准化组织(ISO)转化为正式的国际标准,于2005年10月15日正式发布。
该标准可用于组织的信息安全管理体系的建立和实施,保障组织的信息安全,采用PDCA过程方法,基于风险评估的风险管理理念,全面系统地持续改进组织的安全管理。
信息安全管理系统中的PDCA四个阶段
策划阶段:
l 定义ISMS的范围和方针;
l 定义风险评估的系统性方法;
l 识别风险;
l 应用组织确定的系统性方法评估风险;
l 识别并评估可选的风险处理方式;
l 选择控制目标与控制方式;
l 当决定接受剩余风险时应获得管理者同意,并获得管理者授权开始运行信息安全管理体系。
实施阶段:
l 实施特定的管理程序;
l 实施所选择的控制;
l 运作管理;
l 实施能够促进安全事件检测和响应的程序和其他控制。
检查阶段:
l 执行程序,检测错误和违背方针的行为;
l 定期评审ISMS的有效性;
l 评审剩余风险和可接受风险的等级;
l 执行管理程序以确定规定的安全程序是否适当,是否符合标准,以及是否按照预期的目的进行工作;
l 定期对ISMS进行正式评审,以确保范围保持充分性,以及ISMS过程的持续改进得到识别并实施;
l 记录并报告所有活动和事件。
改进措施阶段:
l 测量ISMS绩效;
l 识别ISMS的改进措施,并有效实施;
l 采取适当的纠正和预防措施;
l 与涉及到的所有相关方磋商、沟通结果及其措施;
l 必要时修改ISMS,确保修改达到既定的目标。
信息安全管理体系的益处
信息安全管理体系可有效保护信息资源,保护信息化进程健康、有序、可持续发展。根据 信息安全管理体系 对您的信息安全管理体系进行梳理,可以带来以下几个好处:
l 引入信息安全管理体系就可以协调各个方面信息管理,从而使管理更为有效。
l 通过进行信息安全管理体系梳理,可以增进组织间电子电子商务往来的信用度,能够建立起网站和贸易伙伴之间的互相信任,为广大用户和服务提供商提供一个基础的设备管理。同时,把组织的干扰因素降到最小,创造更大收益。
l 通过信息安全管理体系能保证和证明组织所有的部门对信息安全的承诺。
l 通过I信息安全管理体系可改善全体的业绩、消除不信任感。
l 获得国际认可资质证书,可得到国际上的承认,拓展您的业务。
l 建立信息安全管理体系能降低这种风险,通过第三方的评估能增强投资者及其他利益相关方的投资信心。