新闻详情
首页 > 新闻动态 > 内容
建立信息安全管理体系需要哪几个步骤
- 2020-05-12-

  组织建立一个基于ISO/IEC 27001 信息安全管理体系,已成为当今时代的需要,今天君盾管理咨询将从ISO/IEC 27001标准的要求来简单分析一下,建立一个符合标准要求的ISMS(信息安全管理体系)需要具备哪些要点。

  一、正确理解ISMS(信息安全管理体系)的含义和要素

  首先,ISMS建设人员只有正确地理解ISMS的含义、要素和ISO/IEC 27001标准的要求之后,才有可能建立一个符合要求的完善的ISMS

  ISMS的含义

  在ISO/IEC 27001标准中,已对ISMS做出了明确的定义。通俗地说,组织有一个总管理体系,ISMS是这个总管理体系的一部分,或总管理体系的一个子体系。ISMS的建立是以业务风险方法为基础,其目的是建立、实施、运行、监视、评审、保持和改进信息安全。

  如果一个组织有多个管理体系,例如包括ISMSQMS(质量管理体系)EMS(环境管理体系)等,那么这些管理体系就组成该组织的总管理体系,而每一个管理体系只是该组织总管理体系中的一个组成部分,或一个子管理体系。各个子管理体系必须相互配合、协调一致地工作,才能实现该组织的总目标。

  ISMS的要素

  标准还指出,管理体系包括组织的结构、方针、规划活动、职责、实践、程序、过程和资源。这些就是构成管理体系的相互依赖、协调一致,缺一不可的组成部分或要素。

  我们将其归纳后,ISMS的要素要包括:

  1) 信息安全管理机构:通过信息安全管理机构,可建立各级安全组织、确定相关人员职责、策划信息安全活动和实践等。

  2) ISMS文件:包括ISMS方针、过程、程序和其它必须的文件等。

  3) 资源:包括建立与实施ISMS所需要的合格人员、足够的资金和必要的设备等。ISMS的建立要确保这些ISMS要素得到满足。

  二、建立信息安全管理机构

  1) 信息安全管理机构的名称

  标准没有规定信息安全管理机构的名称,因此名称并不重要。从目前的情况看,许多组织在建立ISMS之前,已经运行了其它的管理体系,如QMSEMS等。因此,较有效与节省资源的办法是将信息安全管理机构合并于现有管理体系的管理机构,实行一元化领导。

  2) 信息安全管理机构的级别

  信息安全管理机构的级别应根据组织的规模和复杂性而决定。从管理效果看,对于中等以上规模的组织,先设立三个不同级别的信息安全管理机构:

  高层:以总经理或管理者代表为领导,确保信息安全工作有一个明确的方向和提供管理承诺和必要的资源。

  中层:负责该组织日常信息安全的管理与监督活动。

  基层:基层部门指定一位兼职的信息安全检查员,实施对其本部门的日常信息安全监视和检查工作。

  三、正确理解ISMS(信息安全管理体系)的含义和要素

  按照ISO/IEC 27001“4.2.1建立ISMS ” 条款的要求,建立ISMS的步骤包括:

  1) 定义ISMS的范围和边界,形成ISMS的范围文件;

  2) 定义ISMS方针(包括建立风险评价的准则等),形成ISMS方针文件;

  3) 定义组织的风险评估方法;

  4) 识别要保护的信息资产的风险,包括识别:

  资产及其责任人;

  资产所面临的威胁;

  组织的脆弱点;

  资产保密性、完整性和可用性的丧失造成的影响。

  5) 分析和评价安全风险,形成《风险评估报告》文件,包括要保护的信息资产清单;

  6) 识别和评价风险处理的可选措施,形成《风险处理计划》文件;

  7) 根据风险处理计划,选择风险处理控制目标和控制措施,形成相关的文件;

  8) 管理者正式批准所有残余风险;

  9) 管理者授权ISMS的实施和运行;

  10) 准备适用性声明。

  四、完成所需要的ISMS(信息安全管理体系)文件

  ISMS文件是ISMS的主要要素,既要与ISO/IEC 27001保持一致,又要符合本组织的信息安全的需要。实际上,ISMS文件是本组织度身定做的适合本组织需要的实际的信息安全管理标准,是ISO/IEC 27001的具体体现。

  以上就是君盾管理咨询整理如何建立信息安全管理体系的四个步骤,希望可以帮到大家!


军工资质咨询企业,资格认证,申请办理,价格,费用要求,正规的,多少钱,哪些地方有

地址:长沙市开福区车站北路579号湘域智慧1栋602号  :0731-85576768  手机:18692267788  电子邮箱:jundun@jun-dun.com

版权所有:长沙君盾管理咨询有限公司  备案号:湘ICP备17017237号手机版营业执照信息公示

二维码 扫一扫