ISO27001信息安全管理體系（Information Security Management System）作為組織完整的管理體系中的一個(gè)重要環(huán)節(jié)，構(gòu)成了信息安全具有能動(dòng)性的部分，是指導(dǎo)和控制組織的關(guān)于信息安全風(fēng)險(xiǎn)的相互協(xié)調(diào)的活動(dòng)，其針對(duì)對(duì)象就是組織的信息資產(chǎn)。了解信息安全管理的方法，我們必須先明確企業(yè)或組織的信息安全需求。一般來(lái)說(shuō)，企業(yè)的信息安全需求主要有三個(gè)來(lái)源，他們分別是法律法規(guī)與合同條約的要求；組織的原則、目標(biāo)和規(guī)定；風(fēng)險(xiǎn)評(píng)估的結(jié)果等。
信息安全的成敗取決于兩個(gè)因素：技術(shù)和管理，人們常說(shuō)，三分技術(shù)，七分管理，可見管理對(duì)信息安全的重要性，我們可以把安全技術(shù)比作信息安全的構(gòu)筑材料，那么安全管理則是真正的粘合劑和催化劑。現(xiàn)實(shí)世界里，大多數(shù)安全事件的發(fā)生和安全隱患的存在，與其說(shuō)是技術(shù)上的原因，不如說(shuō)是管理不善造成的，理解并重視管理對(duì)于信息安全的關(guān)鍵作用，對(duì)于真正實(shí)現(xiàn)信息安全目標(biāo)來(lái)說(shuō)尤其重要。信息安全不是產(chǎn)品的簡(jiǎn)單堆積，也不是一次性的靜態(tài)過(guò)程，它是人員、技術(shù)、操作這三種要素的緊密結(jié)合的系統(tǒng)工程，是不斷演進(jìn)、循環(huán)發(fā)展的動(dòng)態(tài)過(guò)程。
信息安全管理是指導(dǎo)和控制組織的關(guān)于信息安全風(fēng)險(xiǎn)的相互協(xié)調(diào)的活動(dòng)。首先應(yīng)該制定信息安全的策略方針，它是信息安全管理的導(dǎo)向和支持，在此基礎(chǔ)上選擇控制目標(biāo)與控制方式，企業(yè)和組織還需考慮控制成本與風(fēng)險(xiǎn)平衡的原則，將風(fēng)險(xiǎn)降低到組織可接受的水平，整個(gè)管理過(guò)程需要全員的參與，實(shí)施動(dòng)態(tài)管理。實(shí)施安全管理，還應(yīng)遵循管理的一般模式——PDCA模型。
PDCA模型，即Plan、Do、Check和Act，是一種持續(xù)改進(jìn)的管理模式，見下圖所示。
措施（Action）——針對(duì)檢查結(jié)果采取應(yīng)對(duì)措施，改進(jìn)安全狀況；
計(jì)劃（Plan）——根據(jù)風(fēng)險(xiǎn)評(píng)估結(jié)果、法律法規(guī)要求、組織業(yè)務(wù)運(yùn)作自身需要來(lái)確定控制目標(biāo)與控制措施；
實(shí)施（Do）——實(shí)施所選的安全控制措施；
檢查（Check）——依據(jù)策略、程序、標(biāo)準(zhǔn)和法律法規(guī)，對(duì)安全措施的實(shí)施情況進(jìn)行符合性檢查。
PDCA模型是一種抽象的模型，它把相關(guān)的資源和活動(dòng)抽象為過(guò)程進(jìn)行管理，具有廣泛通用性。PDCA是順序依次進(jìn)行的，依靠組織的力量推動(dòng)，周而復(fù)始，不斷循環(huán)，持續(xù)改進(jìn)，組織中的每個(gè)部門和個(gè)人，在履行相關(guān)職責(zé)時(shí)，都是基于PDCA這個(gè)過(guò)程的，組織的內(nèi)部管理，就構(gòu)成了大環(huán)套小環(huán)層層遞進(jìn)的模式，每一次循環(huán)結(jié)束，都要對(duì)其進(jìn)行總結(jié)，鞏固成績(jī)，改進(jìn)不足，同時(shí)提出新的目標(biāo)，以便進(jìn)入下一次更高級(jí)的循環(huán)。
ISO27000/ISO27001標(biāo)準(zhǔn)對(duì)于信息安全管理體系的定義如下圖所示：
ISO27001信息安全管理可操作的一般過(guò)程和相應(yīng)的活動(dòng)包括：
1、確定組織的信息安全目標(biāo)和戰(zhàn)略
2、開發(fā)信息安全策略
3、進(jìn)行風(fēng)險(xiǎn)評(píng)估（Risk Assessment），明確組織的信息安全需求，具體活動(dòng)包括：
3.1、制定風(fēng)險(xiǎn)評(píng)估計(jì)劃（明確范圍和責(zé)任，采集相關(guān)信息，描述目標(biāo)系統(tǒng)）；
3.2、識(shí)別并評(píng)價(jià)信息資產(chǎn)，理解資產(chǎn)的價(jià)值和敏感性；
3.3、識(shí)別并評(píng)估威脅，理解威脅發(fā)生的可能性；
3.4、識(shí)別并評(píng)價(jià)弱點(diǎn)，理解弱點(diǎn)被利用的容易程度；
3.5、評(píng)估風(fēng)險(xiǎn)，確定風(fēng)險(xiǎn)等級(jí)；
3.6、評(píng)估并比較現(xiàn)有的安全措施（控制），找出目標(biāo)與現(xiàn)狀之間的差距；
3.7、根據(jù)已經(jīng)明確的需求來(lái)推薦安全措施。
4、進(jìn)行風(fēng)險(xiǎn)消減（Risk Mitigation），具體活動(dòng)包括：
4.1、確定風(fēng)險(xiǎn)消減策略，以便減少、規(guī)避、轉(zhuǎn)嫁或接受風(fēng)險(xiǎn)；
4.2、選擇安全措施（控制）；
4.3、制定安全計(jì)劃，明確安全措施的構(gòu)建和實(shí)施方案；
4.4、實(shí)施安全計(jì)劃和策略；
4.5、對(duì)安全計(jì)劃和策略的實(shí)施結(jié)果進(jìn)行測(cè)試和檢查。
5、進(jìn)行風(fēng)險(xiǎn)控制（Risk Control），具體包括：
5.1、信息系統(tǒng)的維護(hù)與操作；
5.2、安全意識(shí)、培訓(xùn)與教育；
5.3、對(duì)信息系統(tǒng)的運(yùn)行和安全措施的效力進(jìn)行監(jiān)視；
5.4、事件響應(yīng)；
5.5、再評(píng)估與認(rèn)證。
6、配置管理（Configuration Management），確保系統(tǒng)發(fā)生的變化不會(huì)降低安全措施的效力和組織的整體安全。
7、變更管理（Change Management），當(dāng)信息系統(tǒng)發(fā)生變化時(shí)，識(shí)別新的安全需求。
8、應(yīng)急計(jì)劃（Contingency Planning），包括業(yè)務(wù)連續(xù)性計(jì)劃、災(zāi)難恢復(fù)計(jì)劃等。
對(duì)應(yīng)PCDA模型，信息安全目標(biāo)與戰(zhàn)略的確定、信息安全策略開發(fā)以及風(fēng)險(xiǎn)評(píng)估屬于計(jì)劃階段（Plan），風(fēng)險(xiǎn)消減屬于實(shí)施階段（Do），風(fēng)險(xiǎn)控制、配置管理、變更管理、應(yīng)急計(jì)劃以及安全意識(shí)培訓(xùn)等活動(dòng)都可以歸入到檢查（Check）和措施（Action）階段。我們所強(qiáng)調(diào)的信息安全管理模式，是由風(fēng)險(xiǎn)驅(qū)動(dòng)的信息安全管理模式，是對(duì)組織的信息安全風(fēng)險(xiǎn)進(jìn)行控制和指導(dǎo)的相互協(xié)調(diào)的活動(dòng)，風(fēng)險(xiǎn)管理是其中的核心。


便攜式按摩設(shè)備專利技術(shù)全景分析
2024年龍華區(qū)第一批孵化載體入駐單位 房租資助項(xiàng)目
關(guān)于植物新品種保護(hù)，你關(guān)心的問(wèn)題都在這里...
ISO14001認(rèn)證體系的精髓
企業(yè)在哪辦3A信用評(píng)級(jí)，需要什么材料
在單位必須要懂的九大規(guī)則！（忙也要看此文）
珠海3C認(rèn)證哪里辦
如何在烏茲別克斯坦注冊(cè)商標(biāo)？