文档介绍:交运集团青岛温馨巴士有限公司信息安全管理体系(ISMS)及管理规定第一部分 信息安全管理体系(ISMS)1 ISMS 产生的背景、 ISMS 标准产生的背景目前,我们虽处于和平年代,但全球经济一体化给世界各国带来的经济与挑战不可小觑。来自敌对国家、恐怖分子、内部人员、经济竞争者、黑客等方面的威胁,信息安全已上升为国家战略。它事关国家政治稳定、军事安全、社会安定、经济有序运行的全局性问题。只有在人员、服务、硬件、软件、数据与文件以及知识产权与专利这五大方面采取切实可行的控制措施,才能有效避免、控制、预防信息安全事件发声,切实把信息安全风险控制在可以接受的水平。 ISMS 标准的由来1993 年 BS7799 标准由英国贸易工业部立项BS7799-1:1999《信息安全管理实施细则》BS7799-2:2002《信息安全管理实施规范》ISO/IEC 27001:2005《信息安全 安全技术 信息安全管理》GB/T 22080-2008/ISO/IEC 27001:2005《信息技术 安全技术 信息安全管理体系 要求》 ISMS 标准的主要特点●与质量、环境、能源、职业健康安全等管理体系高度兼容,即管理理念、管理模式、管理的预期结果基本一致。●“向管理要效益”是该标准的精华。即并不需要组织投入大量的资源就能在信息安全事件的防范上起到“立竿见影”的效果。●可借助质量管理的八项原则,PDCA,持续改进。●有 133 种控制目标和控制措施(ISMS 标准的附录 A)供组织选用。●组织可因地制宜,在现有管理体系基础上,有机嵌入 ISMS,以达到事半功倍的效果。 ISMS 标准的发展趋势ISMS 标准既适用于新兴产业,又适用于传统产业;既适用于服务业,又适用于制造业。总之,只要有信息资产的组织,均可按 GB/T22080-2008/ISO/IEC 27001:2005《信息技术安全技术信息安全管理体系要求》建立与保持 ISMS。2 强化员工的信息安全意识,规范组织信息安全行为。 确保组织的关键信息资产始终处于全面系统的受控保护状态,以保持组织的竞争优势。 在信息系统受到侵袭时,确保业务持续开展,并将损失降到最低程度。 有效规避法律风险,确保组织切实履行社会责任。 如果通过 ISMS 认证,表明该管理体系运行有效,证明组织有能力保证信息安全,提高组织的知名度与信任度。3 GB/T 22080-2008/ISO/IEC 27001:2005  资产对组织有价值的任何东西。信息对一个组织而言具有重要的价值,信息时可以通过多种媒体传递和存在。 保密性信息不能被未被授权的个人、实体或者过程利用或知悉的特性。 可用性根据授权实体的要求可访问和利用的特性。 完整性保护资产的正确和完整的特性。保密性、可用性和完整性是信息保护的核心,这三者缺一不可。 信息安全保持信息的保密性、完整性、可用性;另外也可包括例如真实性、可核查行、不可否认性和可靠性等。 信息安全事态系统、服务或网络的一种可识别的状态的发生。它可能对信息安全策略的违反或保护措施的失效,或是和安全关联的一个先前未知的状态。 信息安全事件一个信息安全事件由单个的或一系列的有害或意外信息安全事态组成。它们具有损害业务运作和威胁信息安全的极大可能性。 信息安全管理体系(ISMS)基本业务风险方法,建立、实施、运行、监视、评审、保持和改进信息安全的体系,是一个组织整个管理体系的一部分。管理体系也包括组织结构、方针策略、规划活动、职责、实践、规程和资源。 残余风险经过风险处置后遗留的风险。 风险接受接受风险的决定。 风险分析系统地使用信息来识别风险来源和估计风险。 风险评估风险分析和风险评价的整个过程。         适用性声明(SOA)简介将估计的风险与给定的风险准则加以比较,以确定风险严重性的过程。 风险管理指导和控制一个组织相关风险的协调活动。 风险处置选择并且执行措施来更改风险的过程。在 ISMS 标准中,术语“控制措施”被用作“措施”的同义词。 适用性声明(SOA)描述与组织的信息安全管理体系相关的和适用的控制目标和控制措施的文件。控制目标和控制措施是基于风险评估和风险处置过程的结果和结论、法律法规的要求、合同义务以及组织对于