站長資訊網信息安全管理的對象包括目標、規則、組織和人員。信息安全管理體系是組織在整體或特定范圍內建立信息安全方針和目標,以及完成這些目標所用方法的體系,它是直接管理活動的結果。
信息安全管理的對象包括目標、規則、組織、人員。
信息安全管理體系是組織在整體或特定范圍內建立信息安全方針和目標,以及完成這些目標所用方法的體系。它是直接管理活動的結果,表示成方針、原則、目標、方法、過程、核查表(Checklists)等要素的集合。
信息安全管理體系(Information Security Management System,簡稱為ISMS)是1998年前后從英國發展起來的信息安全領域中的一個新概念,是管理體系(Management System,MS)思想和方法在信息安全領域的應用。近年來,伴隨著ISMS國際標準的制修訂,ISMS迅速被全球接受和認可,成為世界各國、各種類型、各種規模的組織解決信息安全問題的一個有效方法。ISMS認證隨之成為組織向社會及其相關方證明其信息安全水平和能力的一種有效途徑。
信息安全管理體系是組織機構單位按照信息安全管理體系相關標準的要求,制定信息安全管理方針和策略,采用風險管理的方法進行信息安全管理計劃、實施、評審檢查、改進的信息安全管理執行的工作體系。 信息安全管理體系是按照ISO/IEC 27001標準《信息技術 安全技術 信息安全管理體系要求》的要求進行建立的,ISO/IEC 27001標準是由BS7799-2標準發展而來。
信息安全管理體系ISMS是建立和維持信息安全管理體系的標準,標準要求組織通過確定信息安全管理體系范圍、制定信息安全方針、明確管理職責、以風險評估為基礎選擇控制目標與控制方式等活動建立信息安全管理體系;體系一旦建立組織應按體系規定的要求進行運作,保持體系運作的有效性;信息安全管理體系應形成一定的文件,即組織應建立并保持一個文件化的信息安全管理體系,其中應闡述被保護的資產、組織風險管理的方法、控制目標及控制方式和需要的保證程度。
