信息安全管理體系,是組織在整體或特定范圍內(nèi)建立信息安全方針和目標(biāo)�,以及完成這些目標(biāo)所用方法的體系�。它是直接管理活動的結(jié)果��,表示成方針、原則�����、目標(biāo)、方法�����、過程、核查表等要素的集合���。
一、主要作用:
1��、信息安全管理體系,是建立和維持信息安全管理體系的標(biāo)準����,標(biāo)準要求組織通過確定信息安全管理體系范圍���、制定信息安全方針、明確管理職責(zé)����、以風(fēng)險評估為基礎(chǔ)選擇控制目標(biāo)與控制方式等活動建立信息安全管理體系�;
2����、體系一旦建立組織應(yīng)按體系規(guī)定的要求進行運作,保持體系運作的有效性�;
3�、信息安全管理體系應(yīng)形成一定的iso三體系認證�����,即組織應(yīng)建立并保持一個iso三體系認證化的信息安全管理體系,其中應(yīng)闡述被保護的資產(chǎn)�、組織風(fēng)險管理的方法、控制目標(biāo)及控制方式和需要的保證程度�。
二����、相關(guān)應(yīng)用:
主要是在PDCA上面的應(yīng)用���,何為PDCA����?
1����、計劃(Plan)——根據(jù)風(fēng)險評估結(jié)果��、法律法規(guī)要求��、組織業(yè)務(wù)運作自身需要來確定控制目標(biāo)與控制措施����;
2�、實施(Do)——實施所選的安全控制措施����;
3�����、檢查(Check)——依據(jù)策略��、程序����、標(biāo)準和法律法規(guī)��,對安全措施的實施情況進行符合性檢查��;
4���、改進(Action)——根據(jù)ISMS審核�、管理評審的結(jié)果及其他相關(guān)信息�,采取糾正和預(yù)防措施��,實現(xiàn)信息安全管理體系的持繼改進�����。
