一、ISMS基本介绍
1、什么是ISMS
信息安全管理体系(Information Security Management System,简称ISMS)起源于英国标准协会(British Standards Institution, BSI) 1990年代制定的英国国家标准BS7799,是系统化管理思想在信息安全领域的应用。
信息安全管理体系是组织整体管理体系的一个部分,是组织在整体或特定范围内建立信息安全方针和目标,以及完成这些目标所用方法的体系。基于对业务风险的认识,ISMS 包括建立、实施、操作、监视、复查、维护和改进信息安全等一系列的管理活动,并且表现为组织结构、策略方针、计划活动、目标与原则、人员与责任、过程与方法、资源等诸多要素的集合。
2、为什么需要ISMS
我们已经身处信息时代,计算机和网络已经成为各类组织不可或缺的工具,信息成为组织赖以生存的重要资产,价值与日俱增,与此同时也面临各种各样、越来越多的安全威胁。病毒破坏、黑客攻击、网络欺诈、重要信息资料丢失、信息系统瘫痪以及利用计算机网络实施的各种犯罪行为层出不穷、防不胜防。信息资产一旦遭到破坏,将给组织带来直接的经济损失,并导致组织的声誉和公众形象受到损害,使组织丧失市场机会和竞争力,甚至威胁组织的生存。因此,组织必须解决信息安全问题,有效保护信息资产。
常用的信息安全保障手段往往从信息安全产品入手,如防火墙、防病毒、入侵检测、漏洞扫描、加密认证、内网管理、流量管理等等,用户通过这些产品的安装部署,实现相应的安全功能。这些项目以产品为导向,以解决局部信息安全问题为主要目标。
信息安全管理体系方法从组织的信息安全要求出发,以确定和实现组织信息安全目标为宗旨,通过“PDCA”循环的过程方法,建立持续改进、自我完善的信息安全工作机制。使组织采用适宜的控制措施,有效控制信息安全风险,适度保护信息资产安全,从而实现信息安全目标,保持和改进组织的信息安全水平和能力。
前者可以称为“产品导向的信息安全解决方案”,后者则称为“需求导向的信息安全解决方案”。前者的特点是“头痛医头”,解决局部问题;后者则是系统考虑,实现信息安全的全局治理。
3、信息安全管理体系实施原理
信息安全管理体系关注11个信息领域,39项控制目标,133条控制措施。通过螺旋式的提升过程,组织就能将不断变化的的信息安全需求和期望转化为可管理的信息安全。
4、ISMS认证的适用范围
ISO27001目前已经被普遍应用于软件、银行、电信、印刷、政府等行业。ISO/IEC 27001从组织的整体业务风险的角度,为建立、实施、运行、监视、评审、保持和改进文件化的ISMS规定了要求。它规定了为适应不同组织或其部门的需要而定制的安全控制措施的实施要求。任何组织,不论其规模大小,所属行业或地理位置如何,均可采纳ISO/IEC 27001标准。该标准尤其适合对信息安全有较高要求的行业,例如金融及IT行业。ISO/IEC 27001对于代表他方管理信息的组织(例如IT外包公司、IC研发公司)也十分有效:它可用于使发包方有足够的信息确信其信息得到接包方的有效保护。
二、实施ISMS的收益
1、预防信息安全事故,保证组织业务的连续性,使组织的重要信息资产受到与其价值相符的保护,包括防范:
 重要的商业秘密信息的泄漏、丢失、篡改和不可用;
 重要业务所依赖的信息系统因故障、遭受病毒或攻击而中断。
2、节省成本。一个好的ISMS不仅可通过避免安全事故而使组织节省成本,而且也能帮助组织合理筹划信息安全费用支出,包括:
 依据信息资产的风险级别,安排安全控制措施的投资优先级;
 对于可接受的信息资产的风险,不投资安全控制。
3、保持组织良好的竞争力和成功运作的状态,提高在公众中的形象和声誉,*大限度的增加投资回报和商业机会,增强客户、合作伙伴等相关方的信任和信心。
4、强化员工的信息安全意识,规范组织的信息安全行为。
5、定期评估过程有助于组织持续监控绩效与改进,有助于管理和保护组织宝贵的信息资产。
实施 |
 |
|
手机站
您当前位置是:商业机会 >> 商务服务 >> 认证服务 >> 苏州ISO27001 ISO27001苏州 ISO27001咨询认证 无
联系信息