1.信息安全管理体系
信息安全管理体系(InformationSecuritry ManagementSystem,ISMS)是指组织在整体或特定范围内建立信息安全方针和目标,以及完成这些目标所用方法的体系。该体系根本目的是保障组织的信息安全。它是基于业务风险方法,来建立、实施、运行、监视、评审、保持和改进组织的信息安全系统,它是直接管理活动的结果,表示成方针、原则、目标、方法、过程、核查表等要素的集合。
2.信息安全管理体系的内容
信息安全管理的内容体系包含以下十一个方面:
(1)信息安全的方针与策略
(2)组织的信息安全
(3)资产管理
(4)人力资源安全
(5)物理和环境安全
(6)通信和操作安全
(7)信息系统的获取、开发和保持
(8)访问控制
(9)信息安全事件管理
(10)业务持续性管理
(11)符合性确保信息的“机密性、完整性、可用性、可审计性和抗抵赖性”,这是建立信息系统安全管理机制的主要目的,通过控制各类的信息资源,从而保证组织内部业务地持续运行。
3.信息安全管理体系的重要性
信息安全管理体系(ISMS,Information Security ManagementSystems)是企业整体管理体系的一个部分,是基于风险评估建立、实施、运行、监视、评审、保持和持续改进信息安全等一系列的管理活动。可用于企业信息安全管理和建设,通过管理体系保障企业全方面的信息安全。
企业通过信息安全管理体系的认证准备工作极为复杂,通常会让企业上下感觉脱了一层皮。不过,通过信息安全管理体系的相关认证对于企业来说确实利大于弊。
一般来说,通过信息安全管理体系的相关认证能给企业带来四方面的好处:对内部,它可以显著提升企业的信息安全管理能力,增强员工对信息安全管理的认知,有效防范和控制信息安全风险;对客户,它是国家认可的第三方客观认证证明,让客户对通过认证的企业提供的产品和服务感到信赖和放心;对合作商,它是企业与国际信息安全标准的接轨证明,与通过同类认证的企业合作时可以直接互认对方的信息安全管理水平;对行业,它是信息安全行业内的,既能展示企业信息安全管理水平,也能提升企业品牌形象和行业竞争力。
企业通过信息安全认证就好比一个初出茅庐的新人通过辛苦的闭关修炼,终被认可为武林高手。