ISO27001信息安全管理體系（Information Security Management System）作為組織完整的管理體系中的一個重要環(huán)節(jié)，構(gòu)成了信息安全具有能動性的部分，是指導和控制組織的關(guān)于信息安全風險的相互協(xié)調(diào)的活動，其針對對象就是組織的信息資產(chǎn)。了解信息安全管理的方法，我們必須先明確企業(yè)或組織的信息安全需求。一般來說，企業(yè)的信息安全需求主要有三個來源，他們分別是法律法規(guī)與合同條約的要求；組織的原則、目標和規(guī)定；風險評估的結(jié)果等。

信息安全的成敗取決于兩個因素：技術(shù)和管理，人們常說，三分技術(shù)，七分管理，可見管理對信息安全的重要性，我們可以把安全技術(shù)比作信息安全的構(gòu)筑材料，那么安全管理則是真正的粘合劑和催化劑?，F(xiàn)實世界里，大多數(shù)安全事件的發(fā)生和安全隱患的存在，與其說是技術(shù)上的原因，不如說是管理不善造成的，理解并重視管理對于信息安全的關(guān)鍵作用，對于真正實現(xiàn)信息安全目標來說尤其重要。信息安全不是產(chǎn)品的簡單堆積，也不是一次性的靜態(tài)過程，它是人員、技術(shù)、操作這三種要素的緊密結(jié)合的系統(tǒng)工程，是不斷演進、循環(huán)發(fā)展的動態(tài)過程。

信息安全管理是指導和控制組織的關(guān)于信息安全風險的相互協(xié)調(diào)的活動。首先應(yīng)該制定信息安全的策略方針，它是信息安全管理的導向和支持，在此基礎(chǔ)上選擇控制目標與控制方式，企業(yè)和組織還需考慮控制成本與風險平衡的原則，將風險降低到組織可接受的水平，整個管理過程需要全員的參與，實施動態(tài)管理。實施安全管理，還應(yīng)遵循管理的一般模式——PDCA模型。

PDCA模型，即Plan、Do、Check和Act，是一種持續(xù)改進的管理模式，見下圖所示。

措施（Action）——針對檢查結(jié)果采取應(yīng)對措施，改進安全狀況；

計劃（Plan）——根據(jù)風險評估結(jié)果、法律法規(guī)要求、組織業(yè)務(wù)運作自身需要來確定控制目標與控制措施；

實施（Do）——實施所選的安全控制措施；

檢查（Check）——依據(jù)策略、程序、標準和法律法規(guī)，對安全措施的實施情況進行符合性檢查。

PDCA模型是一種抽象的模型，它把相關(guān)的資源和活動抽象為過程進行管理，具有廣泛通用性。PDCA是順序依次進行的，依靠組織的力量推動，周而復始，不斷循環(huán)，持續(xù)改進，組織中的每個部門和個人，在履行相關(guān)職責時，都是基于PDCA這個過程的，組織的內(nèi)部管理，就構(gòu)成了大環(huán)套小環(huán)層層遞進的模式，每一次循環(huán)結(jié)束，都要對其進行總結(jié)，鞏固成績，改進不足，同時提出新的目標，以便進入下一次更高級的循環(huán)。

ISO27000/ISO27001標準對于信息安全管理體系的定義如下圖所示：

ISO27001信息安全管理可操作的一般過程和相應(yīng)的活動包括：

1、確定組織的信息安全目標和戰(zhàn)略

2、開發(fā)信息安全策略

3、進行風險評估（Risk Assessment），明確組織的信息安全需求，具體活動包括：

3.1、制定風險評估計劃（明確范圍和責任，采集相關(guān)信息，描述目標系統(tǒng)）；

3.2、識別并評價信息資產(chǎn)，理解資產(chǎn)的價值和敏感性；

3.3、識別并評估威脅，理解威脅發(fā)生的可能性；

3.4、識別并評價弱點，理解弱點被利用的容易程度；

3.5、評估風險，確定風險等級；

3.6、評估并比較現(xiàn)有的安全措施（控制），找出目標與現(xiàn)狀之間的差距；

3.7、根據(jù)已經(jīng)明確的需求來推薦安全措施。

4、進行風險消減（Risk Mitigation），具體活動包括：

4.1、確定風險消減策略，以便減少、規(guī)避、轉(zhuǎn)嫁或接受風險；

4.2、選擇安全措施（控制）；

4.3、制定安全計劃，明確安全措施的構(gòu)建和實施方案；

4.4、實施安全計劃和策略；

4.5、對安全計劃和策略的實施結(jié)果進行測試和檢查。

5、進行風險控制（Risk Control），具體包括：

5.1、信息系統(tǒng)的維護與操作；

5.2、安全意識、培訓與教育；

5.3、對信息系統(tǒng)的運行和安全措施的效力進行監(jiān)視；

5.4、事件響應(yīng)；

5.5、再評估與認證。

6、配置管理（Configuration Management），確保系統(tǒng)發(fā)生的變化不會降低安全措施的效力和組織的整體安全。

7、變更管理（Change Management），當信息系統(tǒng)發(fā)生變化時，識別新的安全需求。

8、應(yīng)急計劃（Contingency Planning），包括業(yè)務(wù)連續(xù)性計劃、災難恢復計劃等。

對應(yīng)PCDA模型，信息安全目標與戰(zhàn)略的確定、信息安全策略開發(fā)以及風險評估屬于計劃階段（Plan），風險消減屬于實施階段（Do），風險控制、配置管理、變更管理、應(yīng)急計劃以及安全意識培訓等活動都可以歸入到檢查（Check）和措施（Action）階段。我們所強調(diào)的信息安全管理模式，是由風險驅(qū)動的信息安全管理模式，是對組織的信息安全風險進行控制和指導的相互協(xié)調(diào)的活動，風險管理是其中的核心。

中企檢測認證網(wǎng)提供iso體系認證機構(gòu)查詢，檢驗檢測、認證認可、資質(zhì)資格、計量校準、知識產(chǎn)權(quán)貫標一站式行業(yè)企業(yè)服務(wù)平臺。中企檢測認證網(wǎng)為檢測行業(yè)相關(guān)檢驗、檢測、認證、計量、校準機構(gòu)，儀器設(shè)備、耗材、配件、試劑、標準品供應(yīng)商，法規(guī)咨詢、標準服務(wù)、實驗室軟件提供商提供包括品牌宣傳、產(chǎn)品展示、技術(shù)交流、新品推薦等全方位推廣服務(wù)。這個問題就給大家解答到這里了，如還需要了解更多專業(yè)性問題可以撥打中企檢測認證網(wǎng)在線客服13550333441。為您提供全面檢測、認證、商標、專利、知識產(chǎn)權(quán)、版權(quán)法律法規(guī)知識資訊，包括商標注冊、食品檢測、第三方檢測機構(gòu)、網(wǎng)絡(luò)信息技術(shù)檢測、環(huán)境檢測、管理體系認證、服務(wù)體系認證、產(chǎn)品認證、版權(quán)登記、專利申請、知識產(chǎn)權(quán)、檢測法、認證標準等信息，中企檢測認證網(wǎng)為檢測認證商標專利從業(yè)者提供多種檢測、認證、知識產(chǎn)權(quán)、版權(quán)、商標、專利的轉(zhuǎn)讓代理查詢法律法規(guī)，咨詢輔導等知識。

本文內(nèi)容整合網(wǎng)站：百度百科、搜狗百科、360百科、知乎、市場監(jiān)督總局 、國家認證認可監(jiān)督管理委員會、質(zhì)量認證中心

免責聲明：本文部分內(nèi)容根據(jù)網(wǎng)絡(luò)信息整理，文章版權(quán)歸原作者所有。向原作者致敬！發(fā)布旨在積善利他，如涉及作品內(nèi)容、版權(quán)和其它問題，請跟我們聯(lián)系刪除并致歉！

本文來源： http://m.1cjaei.cn/zs/202008/ccaa_5551.html