设为首页收藏本站

企业社会责任论坛

 找回密码
 注册

QQ登录

只需一步,快速开始

扫一扫,访问微社区

查看: 2861|回复: 0
打印 上一主题 下一主题

如何建立信息安全管理体系ISO27001

[复制链接]
跳转到指定楼层
1#
发表于 2011-11-23 09:03:43 | 只看该作者 回帖奖励 |倒序浏览 |阅读模式

马上注册,结交更多社会责任专业人士,享用更多功能。

您需要 登录 才可以下载或查看,没有帐号?注册

x
1. 正确理解ISMS的含义和要素

ISMS创建人员只有正确地理解ISMS的含义、要素和ISO/IEC 27001标准的要求之后,才有可能建立一个符合要求的完善的ISMS。因此,本节先对ISMS的含义和要素用通俗易懂的语言,做出解释。

(1) “体系”的含义

[Post=20]

“信息安全管理体系”(Information Security Management System)中的“体系”来自英文 “System”。“System”当然可翻译为“体系”,但通常的译文应是“系统”。同样,“Management System” 当然可翻译为“管理体系”,但通常也翻译为“管理系统”。例如在计算机领域中,一个十分常见的术语“Database Management System”,被普遍公认地翻译为“数据库管理系统”(简称DBMS),而几乎没有人将其翻译为“数据库管理体系”。 很显然,如果把ISMS翻译为“信息安全管理系统”,也未尝不可。

实际上,“体系”和“系统”的含义都一样:由若干个为实现共同目标而相互依赖、协调工作的部件(或组分)组成的统一体。这些组成“体系”或“系统”的部件也称“要素”(Element)。组成“体系”或“系统”的这些要素相互依赖,缺一不可。否则“体系”或“系统”就会受破坏、瘫痪,而不能工作或运行。例如,计算机系统(Computer System)是由相互依赖的硬件和软件组成。如果硬件或软件受破坏,该计算机系统就不能正常运行。

此外,“体系”或“系统”是可分级的,即有上级和下级之分。系统的上级称为上级系统。其下级称为子系统。

(2) ISMS的含义

在ISO/IEC 27001标准中,已对ISMS做出了明确的定义。通俗地说,组织有一个总管理体系,ISMS是这个总管理体系的一部分,或总管理体系的一个子体系。ISMS的建立是以业务风险方法为基础,其目的是建立、实施、运行、监视、评审、保持和改进信息安全。

如果一个组织有多个管理体系,例如包括ISMS、QMS(质量管理体系) 和EMS(环境管理体系) 等,那么这些管理体系就组成该组织的总管理体系,而每一个管理体系只是该组织总管理体系中的一个组分,或一个子管理体系。各个子管理体系必须相互配合、协调一致地工作,才能实现该组织的总目标。

(3) ISMS的要素

标准还指出,管理体系包括“组织的结构、方针、规划活动、职责、实践、程序、过程和资源”(见ISO/IEC 27001:2005 3.7)。这些就是构成管理体系的相互依赖、协调一致,缺一不可的组分或要素。我们将其归纳后,ISMS的要素要包括:

1) 信息安全管理机构

通过信息安全管理机构,可建立各级安全组织、确定相关人员职责、策划信息安全活动和实践等。

2) ISMS文件

包括ISMS方针、过程、程序和其它必须的文件等。

3) 资源

包括建立与实施ISMS所需要的合格人员、足够的资金和必要的设备等。

ISMS的建立要确保这些ISMS要素得到满足。

[/Post]
分享到:  QQ好友和群QQ好友和群 QQ空间QQ空间 腾讯微博腾讯微博 腾讯朋友腾讯朋友 微信微信
收藏收藏 分享淘帖 支持支持
您需要登录后才可以回帖 登录 | 注册

本版积分规则

QQ|小黑屋|手机版|Archiver|企业社会责任论坛 ( 粤ICP备07511431  

GMT+8, 2024-11-26 05:48 , Processed in 0.144483 second(s), 23 queries .

Powered by Discuz! X3.2

© 2001-2013 Comsenz Inc.

快速回复 返回顶部 返回列表