信息安全管理体系ISMS是组织在整体或特定范围内建立信息安全方针和目标,以及完成这些目标所用方法的体系。它是基于业务风险方法,来建立、实施、运行、监视、评审、保持和改进组织的信息安全系统,其目的是保障组织的信息安全。它是直接管理活动的结果,表示成方针、原则、目标、方法、过程、检查表等要素的集合,是涉及到人、程序和信息技术系统。
建立信息安全管理体系的意义
组织可以参照信息安全管理模型,按照先进的信息安全管理标准ISO 27001标准建立组织完整的信息安全管理体系并实施与保持,达到动态的、系统的、全员参与、制度化的、以预防为主的信息安全管理方式,用低的成本,使信息风险的发生概率和结果降低到可接受水平,并采取措施保证业务不会因风险的发生而中断。组织建立、实施与保持信息安全管理体系将会:
强化员工的信息安全意识,规范组织信息安全行为;
对组织的关键信息资产进行全面系统的保护,维持竞争优势;
在信息系统受到侵袭时,确保业务持续开展并将损失降到低程度;
使组织的生意伙伴和客户对组织充满信心;
依据标准
GB/T 22080-2016/ISO/IEC 27001:2013