isms信息安全管理体系4
信息安全管理体系
从维基百科，自由的百科全书
跳转到：导航，搜索
计划- 实施- 检查- 行动循环
ENISA：风险管理与主义活动
信息安全管理体系（ISMS）是一个与有关的政策设置的信息安全管理或资讯科技有关的风险。

产生的成语主要出ISO 27001。

而背后的信息安全管理体系的主导原则是，一个组织应制定，实施和维护的政策，流程和系统来管理其风险的一整套信息资产，从而确保信息安全风险可接受的水平。

目录
[hide]
∙ 1 ISMS描述
∙ 2 需要一个ISMS
∙ 3 ISMS的关键成功因素
∙ 4 参见
∙ 5 笔记和参考
∙ 6 外部链接
[ 编辑] ISMS描述
如同所有的管理流程，一个ISMS必须保持有效和长期有效的，适应在内部组织和外部环境的变化。

ISO / IEC 27001，因此采用了典型的“计划-实施-检查-行动”（PDCA）或戴明循环，方法：
∙该计划阶段有关设计的ISMS，信息安全风险评估，并选择适当的控制。

∙该做阶段包括实施和操作控制。

∙检查阶段的目标是审查和评价的ISMS性能（效率和效益）。

∙在该法的阶段，在必要时进行更改，以使ISMS回峰值性能。

最有名的ISMS中介绍了ISO / IEC 27001和ISO / IEC 27002及相关标准共同出版ISO和IEC。

另一种是竞争的ISMS 信息安全论坛的良好实务标准（SOGP）。

这是更最佳实践为基础的，因为它从ISF的行业经验来。

其他框架，如COBIT和ITIL的安全问题联系，但主要是面向朝着建立一个信息管理框架和IT更普遍。

COBIT框架有一个同伴IT风险致力于信息安全。

有一个集中的管理和保护信息系统在铭记，它是企业和组织的问题，不仅是一个技术问题，组织问题多项措施：
∙联邦信息安全管理法案2002年是美国联邦法律在2002年颁布的重要性，承认信息安全对美国经济和国家安全利益。

[1]该法要求每个联邦机构制
定，文件，实施机构范围内的计划，以提供信息安全的信息和信息系统支持的业务和资产的机构，包括提供或由其他机构管理的承包，或其他来
源。

[1][2]
∙对企业安全管理实施指南[3]的卡耐基梅隆大学软件工程研究所CERT旨在帮助企业领导人实行有效的方案，以管理信息技术（IT）和信息安全。

我们的目标是帮助您做出的，如调整组织结构，指定的角色和职责，分配资源（包括证券投资），风险管理，测量结果和测量的安全审计和审查充足GES许多重要的组成部分消息灵通的决定。

在提升安全治理水平关注的
目的是培养周到，安全意识谁是更好地保护企业的数字资产，业务，其市场地位，其声誉的领导人。

∙一个系统安全工程能力成熟度模型是标准化ISO/IEC_21827。

∙信息安全管理成熟度模型（如ISM立方或ISM3）是另一种形式的ISMS。

ISM3基础上，如标准ISO 20000，ISO 9001，CMM，ISO / IEC
27001，而一般的信息管理和安全概念。

ISM3可以被用来作为一个9001兼容ISO ISMS模板。

虽然ISO / IEC 27001是控制的基础，ISM3是过程的基础，包括过程度量。

ISM3是安全管理（如何实现的错误，攻击和意外事故，尽管与一个给定的预算任务的组织）的标准。

之间的ISM3和ISO / IEC 21827的区别在于ISM3是管理，ISO 21287重点工程上。

[ 编辑] 为ISMS需要
安全专家说，和统计确认：
∙信息技术安全管理员应该会奉献自己的时间大约三分之一的解决技术问题。

其余的三分之二是应该花制定政策和程序，执行安全评价和风险分析，处理应急规划和促进安全意识;
∙安全取决于人比技术多;
∙员工是一个更大的威胁远远超过外界的信息安全;
∙安全就像一个链条。

它是作为其最薄弱环节;
∙的安全程度取决于三个因素：风险你愿意承担，系统的功能和你愿意付出的成本;
∙安全不是一个状态或快照，但正在运行的进程。

这些事实必然导致的结论是：
安全管理是一个管理和不是一个单纯的技术问题[4]
一个信息安全管理体系的建立，维护和不断更新提供了有力
的迹象表明，公司正在使用的识别，评估和信息安全风险管理系统的方法。

而且这样的公司将是成功地解决信息的保密性，完整性和可用性要求这反过来有能力的影响：[4]
∙业务连续性;
∙最小的破坏和损失;
∙竞争力;
∙盈利能力和现金流量;
∙尊重组织的形象;
∙遵守法律
信息安全管理的主要目的是落实相应的测量，以消除或尽量减少影响，各种安全相关的威胁和脆弱性可能有一个组织。

这样，信息安全管理，使实施的理想定性该组织提供的特色服务（即提供服务，数据保密性和完整性保护等）。

[4]
大型组织或诸如银行和金融机构，电信运营商，医院和卫生机构和公共机构或政府组织为解决信息安全非常重视的原因很多。

法律和监管要求的，以保护敏感或个人资料，以及广大市民的安全要求的目标促使他们投入最大的关注和重视信息安全风险。

[4]
在这种情况下，发展和管理一个单独的和独立的实施过程就是一个信息安全管理系统是一个和唯一的选择。

[4]
如图所示，一个信息安全管理体系框架的发展需要采取以下
6个步骤：[4]
1.定义安全策略，
2.定义ISMS范围，
3.风险评估（作为风险管理的一部分），
4.风险管理，
5.选择适当的控制和
6.声明适用性
[ 编辑] 为ISMS的关键成功因素
为了有效的ISMS必须：[4]
∙有连续的，不可动摇的和可见的支持和组织的最高管理层的承诺;
∙集中管理的基础上，共同的战略和整个组织的政策;
∙是对相关的，反映了企业的风险管理方法，控制目标和控制，并要求程度的保证组织整体管理的组成部分;
∙有安全目标，并根据业务目标和要求以及企业管理领导的活动;
∙只有进行必要的任务，避免过度控制和宝贵的资源浪费;
∙完全符合该组织的理念和思维定势提供了一个系统，而不是阻止他们这样做是受雇于人做，就会使他们做控制，并展示其
履行问责制;
∙根据不断的培训和工作人员的认识，避免纪律措施和“警察”或“军事”
做法;
∙是一个永无止境的过程;
[ 编辑] 参见
∙资产（计算）
∙攻击（计算机）
∙CERT
∙COBIT
∙ENISA
∙企业架构
∙信息安全管理
∙IT治理
∙ITIL
∙IT风险
∙ISO 9001
∙ISO / IEC 27001
∙ISO / IEC 27002
∙ISO / IEC 27004
∙ISO / IEC 2页
[ 编辑] 外部链接
∙信息安全管理成熟度模型（ISM3）
∙SSE - CMM（“开源”的标准）
取自
“/wiki/Information_security_manage ment_syste m“
分类：数据安全。