信息安全管理是指导和控制组织的关于信息安全风险的相互协调活动,关于信息安全风险的指导和控 制活动通常包括制定信息安全方针、风险评估、控制目标与方式选择、风险控制、安全保证等。而要对组织的信息的安全性进行高效、动态的管理就必须依据信息安 全管理模型和信息安全管理标准构建组织的信息安全管理体系。
现在对ISO27001信息安全管理体系(Information Security Management System, ISMS)还没有一个明确的定义。在ISO27001中信息安全管理体系可以被理解为是组织管理体系的一部分,专门用于组织的信息资产风险管理,确保组织 的信息安全,包括为制定、实施、评审和保持信息安全方针所需要的组织机构、目标、职责、程序、过程和资源。信息安全管理体系中包含很多的“反馈环路”。这 些“反馈环路”可以对系统的安全性进行监测和控制,以此使组织的残余风险最小化,确保组织满足客户和法律的要求。
一个有效的ISO27001信息安全管理体系具有如下功能:
1. 强化员工的信息安全意识,规范组织的信息安全行为。
2. 对组织的关键信息资产进行全面系统的保护,维持竞争优势。
3. 使组织本着预防和系统持续发展的观点处理意外事件和损失,在信息系统受到侵袭时,确保业务持续开展并将损失降到最低程度。
4. 使组织的生意伙伴和客户对组织充满信心。
5. 使组织定期地考虑新的威胁和脆弱点,并对系统进行更新和控制。
6. 促使管理层坚持贯彻信息安全保障体系。
总之,ISO27001信息安全管理体系提供了考虑安全、维持安全、改进安全所必需的工具,即管理安全的工具。
