信息安全管理体系建立方法概述.docx
版权申诉
166 浏览量
2022-11-07
15:20:08
上传
评论
收藏 252KB DOCX 举报
信息安全管理体系建立
方法
BS7799
以
的管理思想介绍通用安全管理体系建立的方法;信息安全管理包括诸多方面,如
风险管理、
工程管理、业务连续性管理等,每项管理的要点均有不同。后续将详细介绍不同部
分的管理。
1 信息安全管理体系
概述
1.1什么是信息安全管理
体系
信息安全管理体系
,即
In formation Security Man ageme nt System(
简称
ISMS)
,是组织在整体
或特定范
围内建立的信息安全方针和目标,以及完成这些目标所用的方法和体系。它是直接管理活动的结果,表示 为方针、
原则、目标、
方法、计划、活动、程序、过程和资源的
集合。
b5E2RGbCA
P
BS7799 2
- 是建立和维持信息安全管理体系的标准,标准要求组织通过确定信息安全管理
体系范围,
制定信息安全方针,明确管理职责,以风险评估为基础选择控制目标与控制措施等一系列活动来建立信息 安全管理
体系;体系一
旦建立,组织应按体系的规定要求进行运作,保持体系运行的有效性;信息安全管 理体系应形成一定的文件,即组
织应建立并保
持一个文件化的信息安全管理体系,其中应阐述被保护的资 产、组织风险管理方法、控制目标与控制措施、信息资
产需要保护的
程度等内容
。
p1EanqFDP
w
1. ISMS
的范围
ISMS
的范围可以根据整个组织或者组织的一部分进行定义,包括相关资产、系统、应用、
服务、网络
ISMS
和用于过程中的技术、存储以及通信的信
息等,
组织所有的信息系统;
组织的部分信息系统;
特定的信息系统。
的范围可以包括:
DXDiTa9E3d
此外,为了保证不同的业务利益,组织需要为业务的不同方面定
义不同的
ISMS
,也可以为组织结构定义
ISMS
。例如,可以为组
织和
其他公司之间特定的贸易关系
定义
ISMS
,不同的情境可以由一个或者
多个
ISMS
表述。
RTCrpUDGiT
2.
组织内部成功实施信息安全管理的关键
因素
反映业务目标的安全方针、目标和活
动;
与组织文化一致的实施安全的方法;
来自管理层的有形支持与承
诺;
对安全要求、风险评估和风险管理的良好
理解;
向所有管理者及雇员推行安全意思;
向所有雇员和承包商分发有关信息安全方针和准则的
导则;
提供适当的培训与教育;
用于评价信息安全管理绩效及反馈改进建议,并有利于综合平衡的测
量系统。
3.
ISMS
的步骤
建立
评论0
最新资源