信息安全管理体系的规范与使用指南(doc 33页)

信息安全管理体系的规范与使用指南目录：
1、范围
2、标准参考
3、名词与定义
4、信息安全管理体系要求
5、管理职责
6、信息安全管理体系管理评审
7、信息安全管理体系改进

 

信息安全管理体系的规范与使用指南内容摘要：
总则
　　本标准的目的是为业务经理和他们的员工提供建立和管理一个有效的信息安全管理体系（ISMS）的模型。采用ISMS应是一个组织的战略决定。一个组织的ISMS的设计和实施受业务需要和目标、产生的安全需求、采用的过程及组织的大小、结构的影响。上述因素和他们的支持过程预计会随事件而变化。希望简单的情况是用简单的ISMS解决方案。
　　本标准可以又内部、外部包括认证组织使用审核一个组织符合其本身的需要及客户和法律的要求的能力。
过程方法
　　本标准推荐采用过程的方法开发、实施和改进一个组织的ISMS的有效性。
　　一个组织必须识别和管理许多活动使其有效地运行。一个活动使用资源和在管理状态下使其能够把输入转换为输出，这个过程可以被认为是一个过程。经常地，一个过程的输出直接形成了下一个过程的输入。
　　在一个组织用应用一个过程的体系，并识别这些过程、过程间的相互作用及过程的管理，可以叫做过程的方法。
过程的方法鼓励使用者强调一下重要性：
　　a)理解业务信息安全需求和建立信息安全方针和目标的需求；
　　b)在全面管理组织业务风险的环境下实施也运作控制措施；
　　c)监控和评审ISMS的有效性和绩效；
　　d)在客观评价的基础上持续改进。

..............................