信息安全管理体系(ISMS)是系统管理信息安全的方法,它涵盖了信息的保密性、完整性和可用性的保护。首先,识别信息安全要求是关键,接着进行风险评估和处置,选择并实施控制措施。在信息生命周期的不同阶段,都要考虑安全需求,并持续改进管理体系,以应对不断变化的风险。
为便于信息安全管理体系的理解与应用,现结合ISO/IEC27001:2016、GB/T22080-2016/ISO/IEC27001:2013及GB/T22081-2016/ISO/IEC27002:2013的相关要求,进行管理基本思路的整理,供参考。
1 信息也是资产,值得或需要保护以防范各种危害
所有类型的组织都会收集、处理、存储和传输各种形式的信息,如语音、文字等。信息的价值已经超越文字、数字和图像的本身。
在互联世界中,信息和相关过程、系统、网络及其操作、处理与保护活动中所涉及的人员都是资产,与其他重要的业务资产一样,对组织的业务至关重要。
资产易遭受故意和意外的威胁,且相关的过程、系统、网络和人员均有其固有的脆弱性(可以被一个或多个威胁利用的组织或资产的弱点)。业务过程和系统的变更或其他外部变更都有可能产生新的信息安全风险。
最低0.47元/天 解锁文章
扫一扫
1万+
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
