人類正在進(jìn)入信息社會(huì)，社會(huì)發(fā)展越來(lái)越依賴信息資源。一方面，信息已經(jīng)成為人類的重要資產(chǎn)，在政治、經(jīng)濟(jì)、軍事、教育、科技和生活中發(fā)揮著重要作用。另一方面，計(jì)算機(jī)技術(shù)的快速發(fā)展帶來(lái)的信息安全問題日益突出。信息資產(chǎn)比傳統(tǒng)實(shí)物資產(chǎn)更脆弱，更容易受到損害，需要妥善保護(hù)。因此，建立信息安全管理體系是非常必要的。長(zhǎng)沙高新技術(shù)開發(fā)區(qū)主任帥軍結(jié)合日常工作，總結(jié)出一套完善的建立信息安全管理體系的理論和方法。信息安全管理系統(tǒng)

 

ISMS(InformationSecurITryManagementSystems)是組織在整體或特定范圍內(nèi)建立信息安全安全政策和目標(biāo)，以及完成這些目標(biāo)的系統(tǒng)。它是基于業(yè)務(wù)風(fēng)險(xiǎn)方法，建立、實(shí)施、運(yùn)行、監(jiān)控、評(píng)估、維護(hù)和改進(jìn)組織的信息安全系統(tǒng)，目的是確保組織的信息安全。它是直接管理活動(dòng)的結(jié)果，表示政策、原則、目標(biāo)、方法、過(guò)程、驗(yàn)證表等要素的集合，涉及人、程序和信息技術(shù)(InformationTechnogy)系統(tǒng)。

 

建立和完善信息安全管理體系對(duì)企業(yè)的安全管理和發(fā)展具有重要意義。首先，該系統(tǒng)的建立將提高員工的信息安全意識(shí)，提高企業(yè)的信息安全管理水平，增強(qiáng)組織抵御災(zāi)難性事件的能力。它是企業(yè)信息化建設(shè)的重要環(huán)節(jié)，將大大提高信息管理的安全性和可靠性，使其更好地為企業(yè)的業(yè)務(wù)發(fā)展服務(wù)。其次，通過(guò)信息安全管理體系的建設(shè)，可以有效提高信息安全風(fēng)險(xiǎn)的管理和控制能力，通過(guò)與等級(jí)保護(hù)和風(fēng)險(xiǎn)評(píng)估相連，使信息安全管理更加科學(xué)有效。最后，信息安全管理體系的建立將使企業(yè)的管理水平符合國(guó)際先進(jìn)水平，從而成長(zhǎng)為企業(yè)向國(guó)際化發(fā)展與合作的有力支撐。

 

參照信息安全管理模型，按照先進(jìn)的信息安全管理標(biāo)準(zhǔn)建立的綜合規(guī)劃，明確目的，正確部署，組織完整的信息安全管理體系，實(shí)現(xiàn)動(dòng)態(tài)、系統(tǒng)、全員參與、制度化的信息安全管理模式，實(shí)現(xiàn)最低成本，保證信息安全的合理水平，從而保證業(yè)務(wù)的有效性和連續(xù)性。

 

建立信息安全管理系統(tǒng)的步驟:
強(qiáng)化員工信息安全意識(shí)，規(guī)范信息安全行為組織；

全面系統(tǒng)地保護(hù)組織的關(guān)鍵信息資產(chǎn)，保持競(jìng)爭(zhēng)優(yōu)勢(shì)；

當(dāng)信息系統(tǒng)受到攻擊時(shí)，確保業(yè)務(wù)持續(xù)發(fā)展，最大限度地減少損失；

使組織的業(yè)務(wù)伙伴和客戶對(duì)組織充滿信心；

如果通過(guò)系統(tǒng)認(rèn)證，說(shuō)明系統(tǒng)符合標(biāo)準(zhǔn)，證明組織有能力保證重要信息，提高組織的知名度和信任度；

 

促使管理層堅(jiān)持信息安全體系。
信息安全管理系統(tǒng)(ISMS)是一個(gè)系統(tǒng)化、程序化、文件化的管理系統(tǒng)，屬于風(fēng)險(xiǎn)管理范疇。系統(tǒng)的建立需要基于系統(tǒng)、全面、科學(xué)的安全風(fēng)險(xiǎn)評(píng)估。ISM體現(xiàn)了預(yù)防控制的理念，強(qiáng)調(diào)遵守國(guó)家有關(guān)信息安全的法律法規(guī)，強(qiáng)調(diào)全過(guò)程和動(dòng)態(tài)控制，本著控制成本和風(fēng)險(xiǎn)平衡的原則，合理選擇安全控制方式保護(hù)組織擁有的關(guān)鍵信息資產(chǎn)，保證信息的保密性、完整性和可用性，從而保持組織的競(jìng)爭(zhēng)優(yōu)勢(shì)和業(yè)務(wù)運(yùn)作的可持續(xù)性。