如何建立信息安全管理体系ISO27001
1. 正确理解ISMS的含义和要素 <p></p>ISMS创建人员只有正确地理解ISMS的含义、要素和ISO/IEC 27001标准的要求之后,才有可能建立一个符合要求的完善的ISMS。因此,本节先对ISMS的含义和要素用通俗易懂的语言,做出解释。 <p></p><p>(1) “体系”的含义 </p><p></p><p></p>“信息安全管理体系”(Information Security Management System)中的“体系”来自英文 “System”。“System”当然可翻译为“体系”,但通常的译文应是“系统”。同样,“Management System” 当然可翻译为“管理体系”,但通常也翻译为“管理系统”。例如在计算机领域中,一个十分常见的术语“Database Management System”,被普遍公认地翻译为“数据库管理系统”(简称DBMS),而几乎没有人将其翻译为“数据库管理体系”。 很显然,如果把ISMS翻译为“信息安全管理系统”,也未尝不可。 <p></p>实际上,“体系”和“系统”的含义都一样:由若干个为实现共同目标而相互依赖、协调工作的部件(或组分)组成的统一体。这些组成“体系”或“系统”的部件也称“要素”(Element)。组成“体系”或“系统”的这些要素相互依赖,缺一不可。否则“体系”或“系统”就会受破坏、瘫痪,而不能工作或运行。例如,计算机系统(Computer System)是由相互依赖的硬件和软件组成。如果硬件或软件受破坏,该计算机系统就不能正常运行。 <p></p>此外,“体系”或“系统”是可分级的,即有上级和下级之分。系统的上级称为上级系统。其下级称为子系统。 <p></p>(2) ISMS的含义 <p></p>在ISO/IEC 27001标准中,已对ISMS做出了明确的定义。通俗地说,组织有一个总管理体系,ISMS是这个总管理体系的一部分,或总管理体系的一个子体系。ISMS的建立是以业务风险方法为基础,其目的是建立、实施、运行、监视、评审、保持和改进信息安全。 <p></p>如果一个组织有多个管理体系,例如包括ISMS、QMS(质量管理体系) 和EMS(环境管理体系) 等,那么这些管理体系就组成该组织的总管理体系,而每一个管理体系只是该组织总管理体系中的一个组分,或一个子管理体系。各个子管理体系必须相互配合、协调一致地工作,才能实现该组织的总目标。 <p></p>(3) ISMS的要素 <p></p>标准还指出,管理体系包括“组织的结构、方针、规划活动、职责、实践、程序、过程和资源”(见ISO/IEC 27001:2005 3.7)。这些就是构成管理体系的相互依赖、协调一致,缺一不可的组分或要素。我们将其归纳后,ISMS的要素要包括: <p></p>1) 信息安全管理机构 <p></p>通过信息安全管理机构,可建立各级安全组织、确定相关人员职责、策划信息安全活动和实践等。 <p></p>2) ISMS文件 <p></p>包括ISMS方针、过程、程序和其它必须的文件等。 <p></p>3) 资源 <p></p>包括建立与实施ISMS所需要的合格人员、足够的资金和必要的设备等。 <p></p>ISMS的建立要确保这些ISMS要素得到满足。 <p></p>
页:
[1]