Information Security Management System
“三分技术,七分管理”
信息安全必须从整体去考虑,必须做到“有计划有目标、发现问题、分析问题、采取措施解决问题、后续监督避免再现”这样的全程管理的路子。这就是信息安全管理体系,它应该成为组织整体经营管理体系的一部分。
在网络互连的世界中,信息和相关的过程、系统和网络组成关键业务资产,企业及其信息系统和网络面临来源广泛的安全威胁,对于任何行业,ISMS是风险管理活动所必须的。ISMS通过应用风险管理过程来保持信息的保密性、完整性和可用性,并为企业树立风险得到充分管理的信心。当企业采用了ISMS标准族,便可以向业务伙伴和其他利益相关方证明其运用一致的和互认的信息安全原则的能力。
“三分技术,七分管理”,通过技术手段实现的信息安全是有限的,若没有ISMS语境下适当的管理和规程支持,信息系统的安全性维护可能是无效的。ISMS构建企业信息安全治理的结构化框架,以此来识别、评估、管理信息安全风险。
ISMS标准族
以非定型的方式推广全球公认的良好信息安全实践,为信息安全提供共同语言和概念基础,使得在业务伙伴中利用合规的ISMS建立信息更为容易,也给企业一定的自由度来采纳和改进适合其特定环境的相关控制。
信息安全管理的PDCA模型
安全需求的提出是ISMS的前提,运作实施、监视评审和维护改进是重要步骤,可管理的信息安全是最终的目标。