信息安全管理体系规范与使用指南(doc 32页)

信息安全管理体系规范与使用指南目录：
1.范围
2.标准参考
3.名词与定义
4.信息安全管理体系要求
5.管理职责
6.信息安全管理体系管理评审
7.信息安全管理体系改进
附件A（有关标准的）控制目标和控制措施

 

信息安全管理体系规范与使用指南内容简介：
0．1 总则
本标准的目的是为管理者和他们的员工们提供建立和管理一个有效的信息安全管理体系（信息安全管理体系）有模型。采用信息安全管理体系应当是一项组织的战略决策。一个组织信息安全管理体系的设计和实施受运营需求、具体目标、安全需求、所采用的过程及该组织的规模和结构的影响。上述因素和他们的支持过程会不断发生变化。希望简单的情况使用简单的信息安全解决方
案。
本标准能用于内部、外部包括认证组织使用，评定一个组织符合其本身的需要及客户和法律的要求的能力。
0．2过程方法
本标准鼓励采用过程的方法建立、实施、和改进组织的信息安全管理体系的有效性。
为使组织有效动作，必须识别和管理众多相互关联的活动。通过使用资源和管理，将输入转化为输出的活动可视为过程。通常，一个过程的输出直接形成了下一个过程的输入。
组织内诸过程的系统的应用，连同这些过程的识别和相互作用及其惯例，课程只为：“过程方法”。
过程的方法鼓励使用者强调以下方面的重要性：
a）理解业务动作对信息安全的需求和建立信息安全方针和目标的需要；
b）在全面管理组织业务风险的环境下实施和动作控制措施；
c）监控和评审信息安全管理体系的有效性和绩效；
d）在客观的测量，持续改进过程。

..............................