2个回答
信息安全管理体系的定义:Information Security Management Systems是组织在整体或特定范围内建立信息安全方针和目标,以及完成这些目标所用方法的体系。它是直接管理活动的结果,表示成方针、原则、目标、方法、过程、核查表(Checklists)等要素的集合。
信息安全管理体系的遵循原则:
1. 程序文件一般不涉及纯技术性的细节,细节通常在工作指令或作业指导书中规定;
2. 程序文件是针对影响信息安全的各项活动的目标和执行做出的规定,它应阐明影响信息安全的管理人员、执行人员、验证或评审人员的职责、权力和相互关系,说明实施各种不同活动的方式、将采用的文件及将采用的控制方式;
3. 程序文件的范围和详细程度应取决于安全工作的复杂程度、所用的方法以及这项活动涉及人员所需的技能、素质和培训程度;
4. 程序文件应简练、明确和易懂,使其具有可操作性和可检查性;
5. 程序文件应保持统一的结构与编排格式,便于文件的理解与使用。
信息安全管理体系的注意事项:
1. 程序文件要符合组织业务运作的实际,并具有可操作性;
2. 可检查性。实施信息安全管理体系的一个重要标志就是有效性的验证。程序文件主要体现可检查性,必要时附相应的控制标准;
3. 在正式编写程序文件之前,组织应根据标准的要求、风险评估的结果及组织的实际对程序文件的数量及其控制要点进行策划,确保每个程序之间要有必要的衔接,避免相同的内容在不同的程序之间有较大的重复;另外,在能够实现安全控制的前提下,程序文件数量和每个程序的篇幅越少越好;
4. 程序文件应得到本活动相关部门负责人同意和接受,必须经过审批,注明修订情况和有效期。
信息安全管理体系,是组织在整体或特定范围内建立信息安全方针和目标,以及完成这些目标所用方法的体系。它是直接管理活动的结果,表示成方针、原则、目标、方法、过程、核查表等要素的集合。
一、主要作用:
1、信息安全管理体系,是建立和维持信息安全管理体系的标准,标准要求组织通过确定信息安全管理体系范围、制定信息安全方针、明确管理职责、以风险评估为基础选择控制目标与控制方式等活动建立信息安全管理体系;
2、体系一旦建立组织应按体系规定的要求进行运作,保持体系运作的有效性;
3、信息安全管理体系应形成一定的文件,即组织应建立并保持一个文件化的信息安全管理体系,其中应阐述被保护的资产、组织风险管理的方法、控制目标及控制方式和需要的保证程度。
二、相关应用:
主要是在pdca上面的应用,何为pdca?
1、计划(plan)——根据风险评估结果、法律法规要求、组织业务运作自身需要来确定控制目标与控制措施;
2、实施(do)——实施所选的安全控制措施;
3、检查(check)——依据策略、程序、标准和法律法规,对安全措施的实施情况进行符合性检查;
4、改进(action)——根据isms审核、管理评审的结果及其他相关信息,采取纠正和预防措施,实现信息安全管理体系的持继改进。