2020-06-23 03:03:41

ISMS 免费编辑 添加义项名

B 添加义项
?
义项指多义词的不同概念,如李娜的义项:网球运动员、歌手等;非诚勿扰的义项:冯小刚执导电影、江苏卫视交友节目等。 查看详细规范>>
所属类别 :
其他
其他
编辑分类

信息安全管理体系(Information Security Management System,简称ISMS)起源于英国标准协会(British Standards Institution, BSI) 1990年代制定的英国国家标准BS7799,是系统化管理思想在信息安全领域的应用。

ISMS信息安全管理体系是组织在整体或特定范围内建立信息安全方针和目标,以及完成这些目标所用方法的体系。

基本信息

  • 中文名

    信息安全管理体系

  • 外文名

    Information Security Management System

  • 简称

    ISMS

  • 起源时间

    1990年

折叠 编辑本段 定义

信息安全管理体系(Information Security Management System,简称ISMS)起源于英国标准协会(British Standards Institution, BSI) 1990年代制定的英国国家标准BS7799,是系统化管理思想在信息安全领域的应用。

随着国际标准化组织(ISO)和国际电工学会(IEC)联合将BSI的相关工作转化为ISMS国际标准(ISO/IEC 27001:2005),ISMS迅速得到全球各类组织的接受和认可,成为世界不同国家和地区、不同类型、不同规模的组织解决信息安全问题的有力武器。ISMS证书也成为组织向其客户、合作伙伴等各种相关方及社会大众证明其信息安全能力和水平的标志。

折叠 编辑本段 存在意义

我们已经身处信息时代,计算机和网络已经成为各类组织不可或缺的工具,信息成为组织赖以生存的重要资产,其价值与日俱增,与此同时也面临各种各样、越来越多的安全威胁。病毒破坏、黑客攻击、网络欺诈、重要信息资料丢失、信息系统瘫痪以及利用计算机网络实施的各种犯罪行为层出不穷、防不胜防。信息资产一旦遭到破坏,将给组织带来直接的经济损失,并导致组织的声誉和公众形象受到损害,使组织丧失市场机会和竞争力,甚至威胁组织的生存。因此,组织必须解决信息安全问题,有效保护信息资产。

2000年12月,国际标准化组织(ISO)和国际电工学会(IEC)联合发布第一个信息安全管理国际标准ISO/IEC 17799:2000"信息安全管理实用规则(Code of practice for information security management)"。2005年6月,ISO和IEC对该标准进行修订,发布ISO/IEC 17799:2005信息安全管理实用规则(为与随后发布的ISO/IEC 27001:2005相一致,2007年将其改为ISO/IEC 27002:2005)。2005年10月,发布ISO/IEC 27001:2005"信息安全管理体系要求(Information Security Management System Requirements)"。

自此,ISMS在国际上得到正式确立并蓬勃发展。如今ISMS已经成为信息安全领域的热门话题。基于国际标准ISO/IEC 27001:2005的信息安全管理体系(Information Security Management System, ISMS)是国际上得到公认的先进的信息安全解决方案,已为越来越多的组织所采用。

ISO/IEC 27001:2005根植于PDCA管理体系改善模式,指导组织系统地从133项信息安全控制措施中选择适合组织自身信息安全要求的控制措施,以帮助组织解决信息安全问题,实现信息安全目标。

为了保障组织信息安全,在计划(Plan)阶段,组织需要进行风险评估以了解组织的信息安全需求,并根据需求设计解决方案;在实施(Do)阶段,组织将解决方案付诸实现;在检查(Check)阶段,需要持续监视和审查解决方案的有效性;在措施(Act)阶段,对所发现的问题并结合组织内、外部环境的变化予以解决,以持续提升组织的信息安全。

通过螺旋式的提升过程,组织就能将不断变化的的信息安全需求和期望转化为可管理的信息安全实现。

折叠 编辑本段 关于认证

折叠 ISMS认证

所谓认证,即由可以充分信任的第三方认证机构依据特定的审核准则,按照规定的程序和方法对受审核方实施审核,以证实某一经鉴定的产品或服务符合特定标准或规范性文件的活动。

针对ISO/IEC 27001的受认可的认证,是对组织的ISMS符合ISO/IEC 27001 要求的一种认证。这是一种通过权威的第三方审核之后提供的保证:受认证的组织实施了ISMS,并且符合ISO/IEC 27001标准的要求。通过认证的组织,将会被注册登记。

折叠 认证意义

根据CSI/FBI的Computer Crime and Security Survey 2005中的统计,65%的组织至少发生了一次信息安全事故,而在这份报告中同时表明有97%的组织部署了防火墙,96%组织部署了防病毒软件。可见,我们传统的信息安全技术手段并不奏效,信息安全现状不容乐观。

实际上,只有在宏观层次上实施了良好的信息安全管理,即采用国际上公认的最佳实践或规则集等,才能使微观层次上的安全,如物理措施等,实现其恰当的作用。采用ISMS标准并得到认证无疑是组织应该考虑的方案之一。

1、预防信息安全事故,保证组织业务的连续性,使组织的重要信息资产受到与其价值相 符的保护,包括防范:

l 重要的商业秘密信息的泄漏、丢失、篡改和不可用;

l 重要业务所依赖的信息系统因故障、遭受病毒或攻击而中断。

2、节省成本。一个好的ISMS不仅可通过避免安全事故而使组织节省成本,而且也能帮助组织合理筹划信息安全费用支出,包括:

l 依据信息资产的风险级别,安排安全控制措施的投资优先级;

l 对于可接受的信息资产的风险,不投资安全控制。

3、保持组织良好的竞争力和成功运作的状态,提高在公众中的形象和声誉,最大限度的增加投资回报和商业机会,增强客户、合作伙伴等相关方的信任和信心。

ISMS认证有助于组织节约信息安全成本,增强客户、合作伙伴等相关方的信心和信任,提高组织的公众形象和竞争力,有助于管理和保护组织宝贵的信息资产。

4、ISMS认证的适用范围

ISO/IEC 27001标准适用于所有类型的组织(例如,商业企业、政府机构、非赢利组织)。ISO/IEC 27001从组织的整体业务风险的角度,为建立、实施、运行、监视、评审、保持和改进文件化的ISMS规定了要求。它规定了为适应不同组织或其部门的需要而定制的安全控制措施的实施要求。任何组织,不论其规模大小,所属行业或地理位置如何,均可采纳ISO/IEC 27001标准。该标准尤其适合对信息安全有较高要求的行业,例如金融、健康、公共事业及IT行业。ISO/IEC 27001对于代表他方管理信息的组织(例如IT外包公司)也十分有效:它可用于使发包方有足够的信息确信其信息得到接包方的有效保护。

折叠 编辑本段 所获收益

获得ISO/IEC 27001证书,可以为组织带来以下收益:

l 证明组织可以独立保证内部控制,同时符合公司治理和业务连续性要求;

l 充分证明组织遵守适用的法律法规;

l 通过符合合同要求,并向客户证明它们的信息安全是组织的头等大事,从而带来竞争优势;

l 充分证明组织的风险已得到正确的识别、评估和管理,同时使信息安全流程、程序和文档得到正式化

l 证明组织的高级管理层在信息维护方面所作的承诺;

l 定期评估过程有助于组织持续监控绩效与改进。

注: 如果组织仅声明遵守ISO/IEC 27001或者业务规范标准ISO/IEC 27002中的建议,将无法实现上述认证收益。

折叠 编辑本段 补贴政策

为了鼓励服务外包企业(ITO,BOP,KPO),从中央到地方各级政府推出一系列针对ISO27001认证的鼓励政策:

商务部- 服务外包企业 财企[2011]69号--(四)对服务外包企业取得的开发能力成熟度模型集成(CMMI)、开发能力成熟度模型(CMM)、人力资源成熟度模型(PCMM)、信息安全管理(ISO27001/BS7799)、IT服务管理(ISO20000)、服务提供商环境安全性(SAS70)、国际实验动物评估和认可委员会认证(AAALAC)、优良实验室规范(GLP)、信息技术基础架构库认证(ITIL)、客户服务中心认证(COPC)、环球同业银行金融电讯协会认证(SWIFT)、质量管理体系要求(ISO9001)、业务持续性管理标准(BS25999)等相关认证及认证的系列维护、升级给予支持,每个企业每年最多可申报3个认证项目,每个项目不超过50万元的资金支持。

折叠 编辑本段 建立步骤

不同的组织在建立与完善信息安全管理体系时,可根据自己的特点和具体情况,采取不同的步骤和方法。总体上,建立信息安全管理体系一般要经过下列PDCA四个基本阶段:

Plan 信息安全管理体系的策划与准备;

Do 信息安全管理体系实施阶段;

Check 信息安全管理体系审核、评审和持续改进;

Action 信息安全管理体系运行。

折叠 编辑本段 建构方法

ISMS信息安全管理体系的建构方法

一、要不断完善ISMS信息安全管理框架体系,一定要按照适当的程序进行相应的管理,不能忽略任何一个环节。

二、要对ISMS信息安全管理框架中的内容进行有效分析,将每一具体环节都落到实处。ISMS信息安全管理体系的落实效果必然会受到各种因素的影响,要综合全面地进行考虑。

三、要建立和完善ISMS信息安全管理的 相关文档。

四、要做好信息安全事件的及时记录,并将信息进行有效地回馈,便于建立有效的信息安全应对机制。

阅读全文

热点资讯