| 信息安全管理体系建立流程 |
| 信息安全管理体系建立的主要步骤
|
信息安全管理体系(ISMS)是一个系统化、程序化和文件化的管理体系,属于风险管理的范畴,体系的建立基于系统、全面、科学的安全风险评估,ISMS 体现预防控制为主的思想,强调遵守国家有关信息安全的法律法规及其他合同方要求,强调全过程和动态控制,本着控制费用与风险平衡的原则,合理选择安全控制方式保护组织所拥有的关键信息资产,确保信息的保密性、完整性和可用性,从而保持组织的竞争优势和业务运作的持续性。
不同的组织在建立与完善信息安全管理体系时,可根据自己的特点和具体情况,采取不同的步骤和方法。但总体来说,建立信息安全管理体系一般要经过下列四个主要步骤:
1:信息安全管理体系的策划与准备;
2:信息安全管理体系文件的编制;
3:信息安全管理体系试运行;
4:信息安全管理体系审核与评审。 |
| 信息安全管理体系策划与准备 |
| 策划与准备阶段主要是做好建立信息安全管理体系的各种前期工作。内容包括教育培训、拟定计划、安全管理现状调查与风险评估,以及信息安全管理体系设计。 |
| 信息安全管理体系文件编写 |
| 建立并保持一个文件化的信息安全管理体系是 ISO/IEC27001:2005标准的总体要求,编写信息安全管理体系文件是建立信息安全管理体系的基础工作,也是一个组织实现风险控制、评价和改进信息安全管理体系、实现持续改进不可少的依据。 |
| 信息安全管理体系的运行 |
信息安全管理体系文件编制完成以后,组织应按照文件的控制要求进行审核与批准并发布实施,至此,信息安全管理体系将进入运行阶段。体系运行初期处于体系的磨合期,一般称为试运行期,在此期间体系运行的目的是要在实践中检验体系的充分性、适用性和有效性。
在体系运行初期,组织应加强运作力度,通过实施其手册、程序和各种作业指导性文件等一系列体系文件,充分发挥体系本身的各项功能,及时发现体系策划本身存在的问题,找出问题根源,采取纠正措施,纠正各种不符合,并按照更改控制程序要求对体系予以更改,以达到进一步完善信息安全管理体系的目的。 |
| 信息安全管理体系审核 |
体系审核是为获得审核证据,对体系进行客观的评价,以确定满足审核准则的程度所进行的系统的、独立的并形成文件的检查过程。体系审核包括内部审核和外部审核(第三方审核)。内部审核一般以组织名义进行,可作为组织自我合格检查的基础;外部审核由外部独立的组织进行,可以提供符合要求(如ISO/IEC27001)的认证或注册。
信息安全管理体系审核是指组织为验证所有安全程序的正确实施和检查信息系统符合安全标准的状况所进行的系统的、独立的检查和评价,是信息安全管理体系的一种自我保证手段。信息安全管理体系审核(以下简称体系审核)的目的是避免与法律、法规、合同约定事宜及其他安全要求的规定相违背的行为,确保安全管理体系符合安全方针和标准要求。同时也作为一种自我改进机制,保持信息安全管理体系持续有效性,以及不断改进与完善。 |
