信息安全管理體系(InformationSecuritryManagementSystems)是組織在整體或特定范圍內建立信息安全方針和目標,以及完成這些目標所用方法的體系。它是直接管理活動的結果,表示成方針、原則、目標、方法、過程、核查表(Checklists)等要素的集合。
BS77992(見BS7799體系)是建立和維持信息安全管理體系的標準,標準要求組織通過確定信息安全管理體系范圍、制定信息安全方針、明確管理職責、以風險評估為基礎選擇控制目標與控制方式等活動建立信息安全管理體系;體系一旦建立組織應按體系規定的要求進行運作,保持體系運作的有效性;信息安全管理體系應形成一定的文件,即組織應建立并保持一個文件化的信息安全管理體系,其中應闡述被保護的資產、組織風險管理的方法、控制目標及控制方式和需要的保證程度。
組織對信息安全管理體系的采用是一個戰略決定。因為按照BS77992:2002建立的信息安全管理體系需要在組織內形成良好的信息安全文化氛圍,它涉及到組織全體成員和全部過程,需要取得管理者的足夠的重視和有力的支持。
1)信息安全管理體系標準:要求:BS77992:2002《信息安全管理體系規范》控制方式指南:ISO/IEC17799:2000《信息技術信息安全管理實施細則》
2)相關法律、法規及其他要求;
3)組織現行的安全控制慣例、規章、制度,包括規范和作業指導書等;
4)現有其他相關管理體系文件。
編寫信息安全管理體系程序文件應遵循的原則在編寫程序文件時應遵循下列原則:
程序文件一般不涉及純技術性的細節,細節通常在工作指令或作業指導書中規定;程序文件是針對影響信息安全的各項活動的目標和執行做出的規定,它應闡明影響信息安全的管理人員、執行人員、驗證或評審人員的職責、權力和相互關系,說明實施各種不同活動的方式、將采用的文件及將采用的控制方式;程序文件的范圍和詳細程度應取決于安全工作的復雜程度、所用的方法以及這項活動涉及人員所需的技能、素質和培訓程度;程序文件應簡練、明確和易懂,使其具有可操作性和可檢查性;程序文件應保持統一的結構與編排格式,便于文件的理解與使用。
編寫信息安全管理體系程序文件時應注意的事項編寫信息安全管理體系程序文件時應注意:
程序文件要符合組織業務運作的實際,并具有可操作性;可檢查性。實施信息安全管理體系的一個重要標志就是有效性的驗證。程序文件主要體現可檢查性,必要時附相應的控制標準;在正式編寫程序文件之前,組織應根據標準的要求、風險評估的結果及組織的實際對程序文件的數量及其控制要點進行策劃,確保每個程序之間要有必要的銜接,避免相同的內容在不同的程序之間有較大的重復;另外,在能夠實現安全控制的前提下,程序文件數量和每個程序的篇幅越少越好;程序文件應得到本活動相關部門負責人同意和接受,必須經過審批,注明修訂情況和有效期。
今天通過對《ISO27000/BS7799簡介》的學習,相信你對認證有更好的認識。如果要辦理相關認證,請聯系我們吧。
中企檢測認證網提供iso體系認證機構查詢,檢驗檢測、認證認可、資質資格、計量校準、知識產權貫標一站式行業企業服務平臺。中企檢測認證網為檢測行業相關檢驗、檢測、認證、計量、校準機構,儀器設備、耗材、配件、試劑、標準品供應商,法規咨詢、標準服務、實驗室軟件提供商提供包括品牌宣傳、產品展示、技術交流、新品推薦等全方位推廣服務。這個問題就給大家解答到這里了,如還需要了解更多專業性問題可以撥打中企檢測認證網在線客服13550333441。為您提供全面檢測、認證、商標、專利、知識產權、版權法律法規知識資訊,包括商標注冊、食品檢測、第三方檢測機構、網絡信息技術檢測、環境檢測、管理體系認證、服務體系認證、產品認證、版權登記、專利申請、知識產權、檢測法、認證標準等信息,中企檢測認證網為檢測認證商標專利從業者提供多種檢測、認證、知識產權、版權、商標、專利的轉讓代理查詢法律法規,咨詢輔導等知識。
本文內容整合網站:百度百科、搜狗百科、360百科、知乎、市場監督總局 、國家認證認可監督管理委員會、質量認證中心
免責聲明:本文部分內容根據網絡信息整理,文章版權歸原作者所有。向原作者致敬!發布旨在積善利他,如涉及作品內容、版權和其它問題,請跟我們聯系刪除并致歉!
