信息安全管理体系

信息安全领域中的概念信息安全管理体系01基本信息遵循原则模式应用编写依据注意事项相关文章目录0305020406基本信息InformationSecurityManagementSystems信息安全管理体系是组织在整体或特定范围内建立信息安全方针和目标，以及完成这些目标所用方法的体系。它是直接管理活动的结果，表示成方针、原则、目标、方法、过程、核查表（Checklists）等要素的集合。基本信息基本信息信息安全管理体系（InformationSecurityManagementSystem，简称为ISMS）是1998年前后从英国发展起来的信息安全领域中的一个新概念，是管理体系（ManagementSystem，MS）思想和方法在信息安全领域的应用。近年来，伴随着ISMS国际标准的制修订，ISMS迅速被全球接受和认可，成为世界各国、各种类型、各种规模的组织解决信息安全问题的一个有效方法。ISMS认证随之成为组织向社会及其相关方证明其信息安全水平和能力的一种有效途径。

信息安全管理体系是组织机构单位按照信息安全管理体系相关标准的要求，制定信息安全管理方针和策略，采用风险管理的方法进行信息安全管理计划、实施、评审检查、改进的信息安全管理执行的工作体系。信息安全管理体系是按照ISO/IEC27001标准《信息技术安全技术信息安全管理体系要求》的要求进行建立的，ISO/IEC27001标准是由BS7799-2标准发展而来。信息安全管理体系ISMS是建立和维持信息安全管理体系的标准，标准要求组织通过确定信息安全管理体系范围、制定信息安全方针、明确管理职责、以风险评估为基础选择控制目标与控制方式等活动建立信息安全管理体系；体系一旦建立组织应按体系规定的要求进行运作，保持体系运作的有效性；信息安全管理体系应形成一定的文件，即组织应建立并保持一个文件化的信息安全管理体系，其中应阐述被保护的资产、组织风险管理的方法、控制目标及控制方式和需要的保证程度。编写依据编写依据简述组织对信息安全管理体系的采用是一个战略决定。因为按照BS7799-2:2002建立的信息安全管理体系需要在组织内形成良好的信息安全文化氛围，它涉及到组织全体成员和全部过程，需要取得管理者的足够的重视和有力的支持。（1)体系标准要求：BS7799-2:2002《信息安全管理体系规范》控制方式指南：ISO/IEC17799:2000《信息技术-信息安全管理实施细则》（2)要求相关法律、法规及其他要求。（3)惯例、规章、制度包括信息安全管理手册、适用性说明、管理制度与规范、业务流程和记录表单等；信息安全管理体系遵循原则遵循原则在编写程序文件时应遵循下列原则：程序文件一般不涉及纯技术性的细节，细节通常在工作指令或作业指导书中规定；程序文件是针对影响信息安全的各项活动的目标和执行做出的规定，它应阐明影响信息安全的管理人员、执行人员、验证或评审人员的职责、权力和相互关系，说明实施各种不同活动的方式、将采用的文件及将采用的控制方式；程序文件的范围和详细程度应取决于安全工作的复杂程度、所用的方法以及这项活动涉及人员所需的技能、素质和培训程度；程序文件应简练、明确和易懂，使其具有可操作性和可检查性；程序文件应保持统一的结构与编排格式，便于文件的理解与使用。注意事项注意事项编写信息安全管理体系程序文件时应注意：程序文件要符合组织业务运作的实际，并具有可操作性；可检查性。实施信息安全管理体系的一个重要标志就是有效性的验证。程序文件主要体现可检查性，必要时附相应的控制标准；在正式编写程序文件之前，组织应根据标准的要求、风险评估的结果及组织的实际对程序文件的数量及其控制要点进行策划，确保每个程序之间要有必要的衔接，避免相同的内容在不同的程序之间有较大的重复；另外，在能够实现安全控制的前提下，程序文件数量和每个程序的篇幅越少越好；程序文件应得到本活动相关部门负责人同意和接受，必须经过审批，注明修订情况和有效期。模式应用模式应用PDCA简介计划（Plan）——根据风险评估结果、法律法规要求、组织业务运作自身需要来确定控制目标与控制措施；实施（Do）——实施所选的安全控制措施；检查（Check）——依据策略、程序、标准和法律法规，对安全措施的实施情况进行符合性检查。

改进（Action）——根据ISMS审核、管理评审的结果及其他相关信息，采取纠正和预防措施，实现ISMS的持继改进。PDCA过程模式策划：依照组织整个方针和目标，建立与控制风险、提高信息安全有关的安全方针、目标、指标、过程和程序。实施：实施和运作方针（过程和程序）。相关文章相关文章ISO27001为企业云计算安全保驾护航近几年来，IT领域出现了全面的业务和技术的融合，许多全新的技术名词开始进入大众视野。作为第三次IT浪潮的代表，云计算技术的风起云涌为人类生活、生产方式和商业模式带来了巨大的改变。据Gartner公司最新一季度的IT支出报告称，鉴于2011年全球公有云服务市场规模突破了910亿美元，预计2012年底这一数字将增加19%，达到1090亿美元。来自Gartner的云计算领域观察员EdAnderson认为，2016年全球云计算产业很可能增长率将超过100%，市场规模达到2070亿美元。伴随着云计算的高速发展与普及，随之而来的全新网络威胁、数据泄漏和欺诈的风险，在全球范围内引发了诸多危机：2011年3月，谷歌Gmail邮箱爆发大规模的用户数据泄漏事件，约有15万用户的使用信息受到不同程度的破坏；无独有偶，2011年4月，全球最大的网络零售商亚马逊也发生史上最严重的宕机事件，导致其云服务中断持续了近四天，业务损失十分严重。由此可见，想要获得真正全面的云计算服务，安全问题是重中之重。如何有效地避免云计算所存在的安全隐患，国际上关于“云”的组织联盟都在积极地做出努力，在对相关技术水平提出