隨著信息技術的高速發(fā)展�,各類組織對IT 系統(tǒng)的依賴也日益加重����,信息技術幾乎滲透到了世界各地和社會生活的方方面面。因此��,對信息加以保護����,防范信息的損壞和泄露��,已成為當前組織迫切需要解決的問題��。
信息安全管理體系(Information Security Management System�,簡稱為ISMS)是1998年前后從英國發(fā)展起來的信息安全領域中的一個新概念���,是管理體系(Management System,MS)思想和方法在信息安全領域的應用����。近年來,伴隨著ISMS國際標準的制修訂��,ISMS迅速被全球接受和認可���,成為世界各國�����、各種類型��、各種規(guī)模的組織解決信息安全問題的一個有效方法�。ISMS認證隨之成為組織向社會及其相關方證明其信息安全水平和能力的一種有效途徑��。
信息安全管理體系是組織機構單位按照信息安全管理體系相關標準的要求,制定信息安全管理方針和策略��,采用風險管理的方法進行信息安全管理計劃�����、實施����、評審檢查、改進的信息安全管理執(zhí)行的工作體系�。信息安全管理體系是按照ISO/IEC 27001標準《信息技術 安全技術 信息安全管理體系要求》的要求進行建立的,ISO/IEC 27001標準是由BS7799-2標準發(fā)展而來�。
通過提供的信息安全管理體系認證,在證明組織內部運行了有效的信息安全管理體系的同時����,還可以幫助組織:
u 形成體系的監(jiān)督、檢查機制,建立可自我改進和完善的管理體系
u 協(xié)調各個方面信息管理以更有效地推動信息安全管理工作的持續(xù)改進
u 提升主動防范信息技術相關安全風險的能力,保障組織運營的安全
u 增強組織競爭力提高企業(yè)競爭能力���,提升企業(yè)形象
信息安全管理體系