什么是信息安全管理体系 什么是信息安全管理体系
信息安全管理体系的定义:Information Security Management Systems是组织在整体或特定范围内建立信息安全方针和目标,以及完成这些目标所用方法的体系。它是直接管理活动的结果,表示成方针、原则、目标、方法、过程、核查表(Checklists)等要素的集合。
信息安全管理体系的遵循原则:
程序文件一般不涉及纯技术性的细节,细节通常在工作指令或作业指导书中规定;
程序文件是针对影响信息安全的各项活动的目标和执行做出的规定,它应阐明影响信息安全的管理人员、执行人员、验证或评审人员的职责、权力和相互关系,说明实施各种不同活动的方式、将采用的文件及将采用的控制方式;
程序文件的范围和详细程度应取决于安全工作的复杂程度、所用的方法以及这项活动涉及人员所需的技能、素质和培训程度;
程序文件应简练、明确和易懂,使其具有可操作性和可检查性;
程序文件应保持统一的结构与编排格式,便于文件的理解与使用。
信息安全管理体系的注意事项:
程序文件要符合组织业务运作的实际,并具有可操作性;
可检查性。实施信息安全管理体系的一个重要标志就是有效性的验证。程序文件主要体现可检查性,必要时附相应的控制标准;
在正式编写程序文件之前,组织应根据标准的要求、风险评估的结果及组织的实际对程序文件的数量及其控制要点进行策划,确保每个程序之间要有必要的衔接,避免相同的内容在不同的程序之间有较大的重复;另外,在能够实现安全控制的前提下,程序文件数量和每个程序的篇幅越少越好;
程序文件应得到本活动相关部门负责人同意和接受,必须经过审批,注明修订情况和有效期。
信息安全管理体系是组织在整体或特定范围内建立信息安全方针和目标,以及完成这些目标所用方法的体系。它是直接管理活动的结果,表示成方针、原则、目标、方法、过程、核查表等要素的集合。
信息安全管理体系(Information Security Management System,简称为ISMS)是1998年前后从英国发展起来的信息安全领域中的一个新概念,是管理体系(Management System,MS)思想和方法在信息安全领域的应用。近年来,伴随着ISMS国际标准的制修订,ISMS迅速被全球接受和认可,成为世界各国、各种类型、各种规模的组织解决信息安全问题的一个有效方法。ISMS认证随之成为组织向社会及其相关方证明其信息安全水平和能力的一种有效途径。
信息安全管理体系是组织机构单位按照信息安全管理体系相关标准的要求,制定信息安全管理方针和策略,采用风险管理的方法进行信息安全管理计划、实施、评审检查、改进的信息安全管理执行的工作体系。 信息安全管理体系是按照ISO/IEC 27001标准《信息技术 安全技术 信息安全管理体系要求》的要求进行建立的,ISO/IEC 27001标准是由BS7799-2标准发展而来。
信息安全管理体系ISMS是建立和维持信息安全管理体系的标准,标准要求组织通过确定信息安全管理体系范围、制定信息安全方针、明确管理职责、以风险评估为基础选择控制目标与控制方式等活动建立信息安全管理体系;体系一旦建立组织应按体系规定的要求进行运作,保持体系运作的有效性;信息安全管理体系应形成一定的文件,即组织应建立并保持一个文件化的信息安全管理体系,其中应阐述被保护的资产、组织风险管理的方法、控制目标及控制方式和需要的保证程度。
什么是信息安全管理体系~
信息安全管理体系(Information Security Management
System,简称为ISMS)是1998年前后从英国发展起来的信息安全领域中的一个新概念,是管理体系(Management
System,MS)思想和方法在信息安全领域的应用。近年来,伴随着ISMS国际标准的制修订,ISMS迅速被全球接受和认可,成为世界各国、各种类型、各种规模的组织解决信息安全问题的一个有效方法。ISMS认证随之成为组织向社会及其相关方证明其信息安全水平和能力的一种有效途径。
信息安全管理体系,是组织在整体或特定范围内建立信息安全方针和目标,以及完成这些目标所用方法的体系。它是直接管理活动的结果,表示成方针、原则、目标、方法、过程、核查表等要素的集合。
一、主要作用:
1、信息安全管理体系,是建立和维持信息安全管理体系的标准,标准要求组织通过确定信息安全管理体系范围、制定信息安全方针、明确管理职责、以风险评估为基础选择控制目标与控制方式等活动建立信息安全管理体系;
2、体系一旦建立组织应按体系规定的要求进行运作,保持体系运作的有效性;
3、信息安全管理体系应形成一定的文件,即组织应建立并保持一个文件化的信息安全管理体系,其中应阐述被保护的资产、组织风险管理的方法、控制目标及控制方式和需要的保证程度。
二、相关应用:
主要是在PDCA上面的应用,何为PDCA?
1、计划(Plan)——根据风险评估结果、法律法规要求、组织业务运作自身需要来确定控制目标与控制措施;
2、实施(Do)——实施所选的安全控制措施;
3、检查(Check)——依据策略、程序、标准和法律法规,对安全措施的实施情况进行符合性检查;
4、改进(Action)——根据ISMS审核、管理评审的结果及其他相关信息,采取纠正和预防措施,实现信息安全管理体系的持继改进。
信息安全工作依据的国际标准是什么
答:信息安全工作依据的国际标准是由信息安全管理体系的实施指南和信息安全管理体系规范两部分构成的。信息安全管理体系具体如下:1、信息安全管理体系的策划与准备。根据组织的整体方针和目标,建立安全策略、目标以及与管理风险和改进信息安全相关的过程和程序,以获得结果;2、信息安全管理体系文件的编制。实施和...
信息安全管理体系的特点包括哪些
答:4、持续改进原则 安全管理是一种动态反馈过程,贯穿整个安全管理的生存周期,随着安全需求和系统脆弱性的时空分布变化,威胁程度的提高,系统环境的变化以及对系统安全认识的深化等,应及时地将现有的安全策略、风险接受程度和保护措施进行复查、修改、调整以至提升安全管理等级,维护和持续改进信息安全管理体系的...
信息安全控制是什么
答:网络环境下的信息安全体系是保证信息安全的关键,包括计算机安全操作系统、各种安全协议、安全机制(数字签名、消息认证、数据加密等),直至安全系统,如UniNAC、DLP等,只要存在安全漏洞便可以威胁全局安全。信息安全是指信息系统(包括硬件、软件、数据、人、物理环境及其基础设施)受到保护,不受偶然的或者...
信息安全包括哪些系统
答:问题一:信息安全包括哪些方面的内容 其实我觉得大多数企业没必要在信息安全这个定义上纠结太多,只需要做好哪些措施就行了,技术、资金实力好的可以自己来做信息安全,不然的话可以考虑购买现有的成熟方案。 推荐下IP-guard的内网安全解决方案 IP-guard是2001年推出的一款内网安全管理软件,拥有18个功能和7大解决方案,...
什么是信息安全?
答:(4)安全和保密管理。分类计算机信息系统的安全和保密管理包括三个方面:管理组织,管理系统和各级管理技术。建立完善的安全管理机构,建立安全保障管理人员,建立严格的安全保密管理体系,运用先进的安全保密管理技术,管理整个机密计算机信息系统。信息安全本身涵盖范围广泛,包括如何防止商业企业机密泄露,防止...
如何构建有效的信息安全保障体系
答:如何有效构建信息安全保障体系;随着信息化的发展,政府或企业对信息资源的依赖程度;通常所指的信息安全保障体系包含了信息安全的管理体;构建第一步确定信息安全管理体系建设具体目标;信息安全管理体系建设是组织在整体或特定范围内建立;信息安全的组织体系:是指为了在某个组织内部为了完;的特定的组织结构,其中包括:决策、...
ISO认证体系有哪些
答:4、信息安全管理体系(ISO27000)信息安全管理要求ISO/IEC27001的前身为英国的BS7799标准,目前分为两个部分:BS7799-1,信息安全管理实施规则BS7799-2,信息安全管理体系规范。第一部分对信息安全管理给出建议,供负责在其组织启动、实施或维护安全的人员使用;第二部分说明了建立、实施和文件化信息安全管理...
什么是企业信息安全?
答:网络环境下的信息安全体系是保证信息安全的关键,当计算机系统操作、各种安全协议、安全机制、消息认证、数据加密等,都关系系统安全,存在安全漏洞的情况,就会威胁网络全局安全。信息安全指的是信息系统,包括硬件、软件、数据、人以及基础设施受到保护,不受偶然或者恶意原因而遭受破坏、更改、泄露,系统连续...
网络安全管理体系的简写是什么
答:网络安全管理体系的简写是:NISMS。NISMS可以代表多种含义,如“网络安全管理体系”、“内部安全管理系统”或“国家信息安全管理体系”。NISMS通常涉及以下主要部分:策划:这包括制定安全策略、计划和实施方案。它考虑了企业的目标、风险、资源和合规性,并制定了全面的安全...
计算机信息安全的定义是什么
答:计算机信息安全是指信息系统(包括硬件、软件、数据、人、物理环境及其基础设施)受到保护,不受偶然的或者恶意的原因而遭到破坏、更改、泄露,系统连续可靠正常地运行,信息服务不中断,最终实现业务连续性。信息安全的概念在二十世纪经历了一个漫长的历史阶段,90年代以来得到了深化。进入21世纪,随着信息技术...
