信息安全管理体系(ISMS)是基于业务风险方法,按照国际最新的ISO/IEC27001:2005标准,来建立、实施、运行、监视、评审、保持和改进信息安全,规避风险,增强组织竞争力。
目的建立文件化的信息安全管理体系。
内容:根据文件体系策划的结果,编写信息安全管理体系文件,
包括
①整合信息安全管理体系手册,明确各管理过程的顺序及相互关系:
②) 整合信息安全管理体系所委求的程序文件,从体系维护管理、资产管理、物理环境安全、人力资源安全、访问控制、通信和运作管理、业务连续性、管理。信息安全事件管理、符合性等方面对各类管理活动及作业指导进行文件化
③副定各类安全策略,如电子邮件策略、互联网访问策略,访问控制策略等。
ISMS管理体系文件审核
目的:确保ISMS信息安全管理体系文件的系统性、有效性和效率。
内容:对信息安全管理体系文件进行评审
包括
①对照风险评估结果,对照核心业务流程,审核程序文件及作业指导书的系统性;
②针对每个具体的管理流程,审核文件所描述的管理职责、管理活动是否符合实际情况,流程责任人是否能够按照文件要求执行管理活动
③针对文件所要求的管理活动,审核其效率是否满足管理的要求形成文件审核的结论,并通过管理层的审批,对文件进行修订,形成发布稿。