在信息化程度日益提高的今天，信息安全正遭受著來自組織內(nèi)部、外部的威脅，可能是惡意破壞、也可能是意外操作。信息安全就是組織應(yīng)明確需要保護(hù)的信息資源，確保信息的機(jī)密性、完整性和可用性，并保持良好的協(xié)調(diào)狀態(tài)。信息安全對政府和企業(yè)都非常重要，為了防止信息安全事故或事件的發(fā)生，盡管在技術(shù)方面采取了防火墻和入侵監(jiān)測系統(tǒng)等防范措施，但是人為因素造成的安全風(fēng)險仍然占有很高的比率。只有將信息安全問題納入到組織的管理體系框架內(nèi)，才能從制度上保證組織更好的符合信息安全相關(guān)法律法規(guī)，只有將組織的信息安全風(fēng)險降低到可接受的水平、將技術(shù)和管理手段有機(jī)地結(jié)合在一起，才能從根本上解決信息安全問題，保證業(yè)務(wù)的連續(xù)性。因此，建立信息安全管理體系十分必要。

ISO27001信息安全管理體系（ISMS:Information Security Management System），它是系統(tǒng)地對組織敏感信息進(jìn)行管理，涉及到人、程序和信息技術(shù)系統(tǒng)。其依據(jù)是信息安全管理體系標(biāo)準(zhǔn)——ISO27001和ISO27001清晰地定義了ISMS，并對組織必要的主要安全管理過程進(jìn)行了詳細(xì)地描述。通過對組織信息系統(tǒng)十個方面的處置，建立目前完善的信息安全管理體系?？傮w是對資產(chǎn)管理、威脅防范、內(nèi)部脆弱性管理的有機(jī)結(jié)合以防范風(fēng)險、全面解決信息安全問題。在ISO27001中，技術(shù)解決手段仍然是重要部分，包括通信與操作管理、訪問控制、系統(tǒng)開發(fā)與維護(hù)、物理和環(huán)境安全等。

ISO27001將信息安全放在一個信息系統(tǒng)中來看待，它引入了安全政策、組織安全，從宏觀上將信息安全融入到整個組織的政策中以加強(qiáng)信息安全。同時它也引入了業(yè)務(wù)持續(xù)性管理、符合性等措施，將信息安全與組織的業(yè)務(wù)緊密聯(lián)系在一起，將業(yè)務(wù)目標(biāo)作為實(shí)現(xiàn)信息安全的導(dǎo)向。人的因素仍然是網(wǎng)絡(luò)安全管理的重要因素，ISO27001相應(yīng)地引入了人事安全等措施以控制人的因素所造成的風(fēng)險。ISO27001所設(shè)定的ISMS是一個動態(tài)的可以自身完善的系統(tǒng)，它通過PDCA過程來實(shí)現(xiàn)持續(xù)完善。

1. 準(zhǔn)備階段

準(zhǔn)備階段是信息安全管理體系ISMS體系建立的基礎(chǔ)，在準(zhǔn)備階段，主要工作過程包括：

①編寫項目實(shí)施方案；

②成立項目組；

③前期項目培訓(xùn)；

④標(biāo)準(zhǔn)內(nèi)容培訓(xùn)；

⑤簽訂保密協(xié)議；

⑥項目啟動會；

⑦階段評審。

本階段應(yīng)確定的內(nèi)容：從的業(yè)務(wù)出發(fā)并通過與組織溝通明確信息安全管理體系ISMS項目的實(shí)施范圍、業(yè)務(wù)流程所依賴的信息系統(tǒng)、項目實(shí)施框架、明確信息安全所涉及到的人員、部門和職能并確定雙方在項目中的工作責(zé)任和范圍、松緊適度的合理的項目日程規(guī)劃并應(yīng)獲得客戶審批。本階段應(yīng)該達(dá)到以下效果：得到組織高層的實(shí)際支持與承諾、雙方項目組人員分工明確、客戶方項目組人員對信息安全管理體系ISMS以及項目將要涉及到的與之相關(guān)的工作有較為清晰的認(rèn)知，以保證在以下的項目實(shí)施過程中能夠進(jìn)行積極、有效地配合。

2. 實(shí)施階段

（1）系統(tǒng)調(diào)研。在調(diào)研的過程中，調(diào)研人員應(yīng)明確要調(diào)研的目標(biāo)并控制好調(diào)研時間與引導(dǎo)好調(diào)研內(nèi)容。針對不同調(diào)研對象，應(yīng)有不同調(diào)研側(cè)重點(diǎn)。

（2）業(yè)務(wù)影響分析。信息安全管理體系ISMS的最終目標(biāo)是保障組織的各項業(yè)務(wù)能夠順利、有效的開展。業(yè)務(wù)分析的目標(biāo)包括對組織的各級部門核心業(yè)務(wù)目標(biāo)、組織架構(gòu)、關(guān)鍵業(yè)務(wù)流程進(jìn)行分析，通過對信息數(shù)據(jù)流轉(zhuǎn)情況的分析，為后面差距分析和風(fēng)險分析過程的資產(chǎn)識別、脆弱點(diǎn)確認(rèn)和威脅描述提供基礎(chǔ)。

（3）差距分析。差距分析是實(shí)施ISMS的重要環(huán)節(jié)。差距分析要對調(diào)研結(jié)果進(jìn)行綜合分析，編寫差距分析報告，列出差異之處并計劃實(shí)際資源投放，為下一步的工作做好鋪墊。最好將差距分析報告交給客戶方評審，通過后進(jìn)行下一步工作。

（4）風(fēng)險評估。風(fēng)險評估是從信息安全的角度來為組織I T環(huán)境進(jìn)行合理劃分，找出技術(shù)上的不足和管理上的缺陷，為今后的方案設(shè)計和具體實(shí)施提供基礎(chǔ)。

（5）撰寫體系文件。防范措施的選擇要綜合考慮目前該信息系統(tǒng)的實(shí)際情況、客戶需求和組織的行業(yè)特點(diǎn)（如禁忌）、相關(guān)商業(yè)活動等進(jìn)行選擇，確定可接受的殘余風(fēng)險，并輸出控制手段實(shí)施的日期。

信息安全管理體系ISMS體系文件由四級文件構(gòu)成：方針性文件、規(guī)定性文件、程序性文件、記錄性文件。

上述內(nèi)容應(yīng)得到客戶方同意，方可將報告內(nèi)的控制手段轉(zhuǎn)化為具體行動。在控制措施實(shí)施過程中，應(yīng)注意控制實(shí)施進(jìn)度和資源以努力用最少的資源達(dá)到最好的效果，如果不同的進(jìn)度應(yīng)用的是相同的資源，則可以考慮在其重疊的部分同時進(jìn)行。

3. 試運(yùn)行及改善階段

在信息安全管理體系ISMS正式運(yùn)行前，應(yīng)對體系進(jìn)行試運(yùn)行。結(jié)合信息系統(tǒng)的實(shí)際情況、客戶需要、項目特點(diǎn)等確定試運(yùn)行的時間。在信息安全管理體系ISMS試運(yùn)行之前，應(yīng)與組織高管進(jìn)行充分溝通，得到必要的支持以及明確要做的具體工作，同時要進(jìn)行信息安全管理體系ISMS的推廣培訓(xùn)以減少體系運(yùn)行的阻力，在培訓(xùn)中要做到：根據(jù)組織的規(guī)模選擇培訓(xùn)對象、針對不同的培訓(xùn)對象培訓(xùn)不同的內(nèi)容。在體系試運(yùn)行過程中，審核員應(yīng)對信息安全管理體系ISMS進(jìn)行評審，并應(yīng)保持跟組織中層管理者的充分交流，發(fā)現(xiàn)有問題的地方，進(jìn)行相應(yīng)的調(diào)整以確保信息安全管理體系ISMS的建立。

建立信息安全管理體系ISMS并不是組織信息安全的終點(diǎn)，后續(xù)的維護(hù)和改善在某種意義上更為重要。信息安全的最大挑戰(zhàn)在于必須面對各種各樣的威脅源、不斷更新和不可預(yù)知的方法、在不確定的時間對阻止重要信息資產(chǎn)產(chǎn)生破壞，所以必須要有能夠進(jìn)行持續(xù)改善的績效管理。對信息安全管理體系ISMS長期的維護(hù)和不斷改善才能確保信息系統(tǒng)的安全與時俱進(jìn)，至少半年應(yīng)該做一次全面審核。如果項目條件允許，那么制作一個全面而均衡的量測體系則會為ISMS的績效管理提供較準(zhǔn)確的評測尺度以能夠持續(xù)而有效的改進(jìn)信息安全管理體系ISMS。

中企檢測認(rèn)證網(wǎng)提供iso體系認(rèn)證機(jī)構(gòu)查詢，檢驗(yàn)檢測、認(rèn)證認(rèn)可、資質(zhì)資格、計量校準(zhǔn)、知識產(chǎn)權(quán)貫標(biāo)一站式行業(yè)企業(yè)服務(wù)平臺。中企檢測認(rèn)證網(wǎng)為檢測行業(yè)相關(guān)檢驗(yàn)、檢測、認(rèn)證、計量、校準(zhǔn)機(jī)構(gòu)，儀器設(shè)備、耗材、配件、試劑、標(biāo)準(zhǔn)品供應(yīng)商，法規(guī)咨詢、標(biāo)準(zhǔn)服務(wù)、實(shí)驗(yàn)室軟件提供商提供包括品牌宣傳、產(chǎn)品展示、技術(shù)交流、新品推薦等全方位推廣服務(wù)。這個問題就給大家解答到這里了，如還需要了解更多專業(yè)性問題可以撥打中企檢測認(rèn)證網(wǎng)在線客服13550333441。為您提供全面檢測、認(rèn)證、商標(biāo)、專利、知識產(chǎn)權(quán)、版權(quán)法律法規(guī)知識資訊，包括商標(biāo)注冊、食品檢測、第三方檢測機(jī)構(gòu)、網(wǎng)絡(luò)信息技術(shù)檢測、環(huán)境檢測、管理體系認(rèn)證、服務(wù)體系認(rèn)證、產(chǎn)品認(rèn)證、版權(quán)登記、專利申請、知識產(chǎn)權(quán)、檢測法、認(rèn)證標(biāo)準(zhǔn)等信息，中企檢測認(rèn)證網(wǎng)為檢測認(rèn)證商標(biāo)專利從業(yè)者提供多種檢測、認(rèn)證、知識產(chǎn)權(quán)、版權(quán)、商標(biāo)、專利的轉(zhuǎn)讓代理查詢法律法規(guī)，咨詢輔導(dǎo)等知識。

本文內(nèi)容整合網(wǎng)站：百度百科、搜狗百科、360百科、知乎、市場監(jiān)督總局 、國家認(rèn)證認(rèn)可監(jiān)督管理委員會、質(zhì)量認(rèn)證中心

免責(zé)聲明：本文部分內(nèi)容根據(jù)網(wǎng)絡(luò)信息整理，文章版權(quán)歸原作者所有。向原作者致敬！發(fā)布旨在積善利他，如涉及作品內(nèi)容、版權(quán)和其它問題，請跟我們聯(lián)系刪除并致歉！

本文來源： http://m.rumin8raps.com/zs/202008/ccaa_5553.html