信息安全管理體系(ISMS)簡介

　　1.什么是信息安全管理體系(Information Security Management System，簡稱:ISMS)？

　　按照其定義，就是：組織在整體或特定范圍內(nèi)建立信息安全方針和目標，以及完成這些目標所用方法的體系。

　　國際標準組織(ISO)為信息安全管理體系(ISMS)預留了ISO/IEC 27000系列編號，如同ISO9000系列標準一樣，ISO/IEC 27000系列同樣也是由一系列的國際標準所組成的，比如：《ISO27000原理與術(shù)語》、《ISO27001信息安全管理體系——要求》、《ISO 27002信息技術(shù)——安全技術(shù)——信息安全管理實踐規(guī)范》等等，其中ISO27001是ISO27000系列的主標準，各類組織可以按照該標準的要求建立自己的信息安全管理體系(ISMS)，并通過認證。而ISO27001起源于英國標準BS7799的第二部分，即BS7799-2《信息安全管理體系規(guī)范》。并經(jīng)過十年的不斷改版，于2005年被國際標準化組織(ISO)轉(zhuǎn)化為正式的國際標準，于2005年10月15日發(fā)布為ISO/IEC 27001:2005。該標準可用于組織的信息安全管理體系的建立和實施，保障組織的信息安全，采用PDCA過程方法，基于風險評估的風險管理理念，全面系統(tǒng)地持續(xù)改進組織的信息安全管理體系。

　　2.為什么需要信息安全，信息安全的特性是什么？

　　當今社會信息如其他重要資產(chǎn)一樣，對于企業(yè)(組織)也是一種資產(chǎn)，同樣具有價值，因而需要被妥善地保護。信息安全是為了信息避免一系列威脅，保障了組織商務(wù)的連續(xù)性，最大限度地減小組織的商務(wù)損失，順利獲取投資和商務(wù)回報。

　　作為一種特殊的資產(chǎn)，信息要想保證安全，有三個主要特性必須考慮：

　　A.機密性(Confidentiality)：指只有授權(quán)用戶可以獲取信息。

　　B.完整性(Integrality)：指信息在輸入和傳輸?shù)倪^程中，不被非法授權(quán)修改和破壞，保證數(shù)據(jù)的一致性。

　　C.可用性(Availability)：指信息的可靠度。

　　ISMS就是基于上述三個特性為目標，通過建立ISMS模型和管理過程，利用技術(shù)和管理的方法來達到組織業(yè)務(wù)的連續(xù)性。

　　3.建立信息安全管理體系(ISMS)對組織的重要意義

　　組織可以參照信息安全管理模型，按照先進的信息安全管理標準ISO 27001標準建立組織完整的信息安全管理體系并實施與保持，達到動態(tài)的、系統(tǒng)的、全員參與、制度化的、以預防為主的信息安全管理方式，用最低的成本，使信息風險的發(fā)生概率和結(jié)果降低到可接受水平，并采取措施保證業(yè)務(wù)不會因風險的發(fā)生而中斷。組織建立、實施與保持信息安全管理體系將會

　　a強化員工的信息安全意識，規(guī)范組織信息安全行為；

　　b對組織的關(guān)鍵信息資產(chǎn)進行全面系統(tǒng)的保護，維持競爭優(yōu)勢；

　　c在信息系統(tǒng)受到侵襲時，確保業(yè)務(wù)持續(xù)開展并將損失降到最低程度；

　　d使組織的生意伙伴和客戶對組織充滿信心。

　　4.基于PDCA模型建立ISMS

　　5.建立和實施ISMS的流程