信息安全管理体系(Information Security Management System,简称为ISMS)是1998年前后从英国发展起来的信息安全领域中的一个新概念,是管理体系(Management System,MS)思想和方法在信息安全领域的应用。近年来,伴随着ISMS国际标准的制修订,ISMS迅速被接受和认可,成为、各种类型、各种规模的组织解决信息安全问题的一个有效方法。ISMS认证随之成为组织向社会及其相关方证明其信息安全水平和能力的一种有效途径。
信息安全管理体系是组织机构单位按照信息安全管理体系相关标准的要求,制定信息安全管理方针和策略,采用风险管理的方法进行信息安全管理计划、实施、评审检查、改进的信息安全管理执行的工作体系。 信息安全管理体系是按照ISO/IEC 27001标准《信息技术 安全技术 信息安全管理体系要求》的要求进行建立的,ISO/IEC 27001标准是由BS7799-2标准发展而来。
建立IT服务管理体系(ITSMS)已成为各种组织,特别是金融机构、电信、高科技产业等管理运营风险不可缺少的重要机制。ISO/IEC 20000让IT管理者有一个参考框架用来管理IT服务,完善的IT管理水平也能通过认证的方式表现出来。
ISO20000的原理和方法如下:集成的过程方法,过程:将输入转化为输出的相互关联或相互作用的一组活动。集成的过程是系统的识别、定义和管理组织内所使用的各个过程,特别是过程间的接口和交互作用,形成可协调运行的过程集合。举例:一个服务事件会触发事件管理过程,从而可能进一步引发问题管理过程、变更管理过程等。质量管理的PDCA方法。
在编写程序文件时应遵循下列原则:程序文件一般不涉及纯技术性的细节,细节通常在工作指令或作业指导书中规定; 程序文件是针对影响信息安全的各项活动的目标和执行做出的规定,它应阐明影响信息安全的管理人员、执行人员、验证或评审人员的职责、权力和相互关系,说明实施各种不同活动的方式、将采用的文件及将采用的控制方式; 程序文件的范围和详细程度应取决于安全工作的复杂程度、所用的方法以及这项活动涉及人员所需的技能、素质和培训程度; 程序文件应简练、明确和易懂,使其具有可操作性和可检查性; 程序文件应保持统一的结构与编排格式,便于文件的理解与使用。
编写信息安全管理体系程序文件时应注意:程序文件要符合组织业务运作的实际,并具有可操作性;可检查性。实施信息安全管理体系的一个重要标志就是有效性的验证。程序文件主要体现可检查性,必要时附相应的控制标准; 在正式编写程序文件之前,组织应根据标准的要求、风险评估的结果及组织的实际对程序文件的数量及其控制要点进行策划,确保每个程序之间要有必要的衔接,避免相同的内容在不同的程序之间有较大的重复;另外,在能够实现安全控制的前提下,程序文件数量和每个程序的篇幅越少越好; 程序文件应得到本活动相关部门负责人同意和接受,经过审批,注明修订情况和有效期。
