NISP-信息安全管理概述
1.信息安全管理定义
- 是管理者为实现信息安全目标(如信息资产的CIA等特性,业务运行的连续性)而进行的计划,组织,指挥,协调和控制的一系列活动
2.管理对象
- 组织的信息及相关资产(包括信息,人员,软件等)
- 同时还包括信息安全目标,信息安全组织架构,信息安全策略规则等
3.管理的目的
- 保障组织的业务正常运转
4.信息安全管理实现的因素
- 组织的活动能够反映组织的业务目标
- 组织所有级别的管理者能够给予信息安全实质性的,可见的支持和承诺
- 组织的管理者对信息安全需求,信息安全风险,风险评估以及风险管理有正确深入的理解
- 向所有管理者,员工和其他相关方提供有效的信息安全宣传以提升信息安全意识
- 向所有管理者,员工和其他相关方分发,宣贯彻实行信息安全方针,策略和标准。使全员都对组织的信息安全方针,策略,标准的要求有深入的理解,是成功实现信息安全管理的重要基础
- 管理者为信息安全建设提供足够的资金,这是信息安全管理成功实施的必要保障
- 建立有效的信息安全事件管理过程
- 建立有效的信息安全测量体系