 |
| |
安全管理体系
信息安全管理就是通过保证维护信息的机密性、完整性和可用性来管理和保护组织的所有信息资产的一项体制。通过合理的组织体系、规章制度和控管措施,把具有信息安全保障功能的软硬件设施和管理以及使用信息的人整合在一起,以此确保整个组织达到预定程度的信息安全。建立信息安全管理体系(ISMS)可以强化员工的信息安全意识,规范组织信息安全行为;对组织的关键信息资产进行全面系统的保护,维持竞争优势;在信息系统受到侵袭时,确保业务持续开展并将损失降到最低程度。
|
 |
| HK-ISMS结构图 |
ISMS基本组成部分
ISMS(网络信息安全管理体系)的基本组成部分可以分为四个部分,第一是总体方针,第二是安全管理组织体系,第三是涵盖物理、网络、系统、应用、数据等方面的统一安全策略,第四是可操作的安全管理制度、操作规范和流程。
◆安全管理最高指导方针
在充分遵循和参考国际国内信息安全管理标准、国家法律法规和行业规范的基础上,阐述了安全管理体系建设的目的、适用范围、安全定义、体系结构、安全原则、关键性成功因素和声明等内容,对组织技术和管理各方面的安全工作具有通用指导性。
◆安全管理组织体系
建立健全组织信息系统的安全管理责任制。它明确定义了组织内部的安全管理组织体系,以便在整个组织体系范围内执行信息安全的管理工作。
◆安全策略体系
分别从物理安全、网络安全、系统安全、应用安全、数据安全、病毒防护、安全教育、应急恢复、口令管理、安全审计、系统开发、第三方安全等方面提出了规范的安全策略要求。
◆安全管理制度、操作规范及流程
主要是从应用角度对各业务系统、各种信息技术角色相关的安全管理制度、操作规范、流程等提出具体的要求,对安全管理工作具有实际的指导作用。 |
| |
|
