认识信息安全管理体系

一、基本信息

信息安全管理体系是1998年前后从英国发展起来的信息安全领域中的一个新概念，是管理体系思想和方法在信息安全领域的应用。近年来，伴随着ISMS国际标准的制修订，ISMS迅速被全球接受和认可，成为世界各国、各种类型、各种规模的组织解决信息安全问题的一个有效方法。ISMS认证随之成为组织向社会及其相关方证明其信息安全水平和能力的一种有效途径。 

信息安全管理体系ISMS是建立和维持信息安全管理体系的标准，标准要求组织通过确定信息安全管理体系范围、制定信息安全方针、明确管理职责、以风险评估为基础选择控制目标与控制方式等活动建立信息安全管理体系；

二、编写依据

（1)体系标准

要求：BS 7799-2:2002 《信息安全管理体系规范》 控制方式指南：ISO/IEC17799:2000《信息技术-信息安全管理实施细则》

（2)要求

相关法律、法规及其他要求。

（3)惯例、规章、制度

包括信息安全管理手册、适用性说明、管理制度与规范、业务流程和记录表单等；

（4)其他的文件

三、遵循原则

程序文件一般不涉及纯技术性的细节，细节通常在工作指令或作业指导书中规定； 程序文件是针对影响信息安全的各项活动的目标和执行做出的规定，它应阐明影响信息安全的管理人员、执行人员、验证或评审人员的职责、权力和相互关系，说明实施各种不同活动的方式、将采用的文件及将采用的控制方式； 程序文件的范围和详细程度应取决于安全工作的复杂程度、所用的方法以及这项活动涉及人员所需的技能、素质和培训程度； 程序文件应简练、明确和易懂，使其具有可操作性和可检查性； 程序文件应保持统一的结构与编排格式，便于文件的理解与使用。

四、模式应用

PDCA简介

计划（Plan）——根据风险评估结果、法律法规要求、组织业务运作自身需要来确定控制目标与控制措施；

实施（Do）——实施所选的安全控制措施；

检查（Check）——依据策略、程序、标准和法律法规，对安全措施的实施情况进行符合性检查。 

改进（Action）——根据ISMS审核、管理评审的结果及其他相关信息，采取纠正和预防措施，实现ISMS

的持继改进。