如何建立isms.doc

如何建立信息安全管理体系(ISMS)
    信息是所有组织赖以生存和发展的最有价值的资产之一,犹如维持生命所必须的血液。然而,在当今激烈竞争的商业环境下,作为组织生命血液的信息总是受到多方面的威胁和风险。这些威胁可能来自内部,也可能来自外部,可能是无意的,也可能是恶意的。随着信息的储存、传输和检索新技术的不断涌现,许多组织感到面对各种威胁防不胜防,犹如敞开了大门。
    组织的业务目标和信息安全要求紧密相关。实际上,任何组织成功经营的能力在很大程度上取决于其有效地管理其信息安全风险的才干。因此,如何确保信息安全已是各种组织改进其竞争能力的一个新的挑战任务。组织建立一个基于ISO/IEC 27001:2005标准的信息安全管理体系(Information Security Management System,以下简称ISMS),已成为时代的需要。
    本文从简单分析ISO/IEC 27001:2005标准的要求入手,论述建立一个符合该标准要求的ISMS。
 
1. 正确理解ISMS的含义和要素
    ISMS创建人员只有正确地理解ISMS的含义、要素和ISO/IEC 27001标准的要求之后,才有可能建立一个符合要求的完善的ISMS。因此,本节先对ISMS的含义和要素用通俗易懂的语言,做出解释。
(1) “体系”的含义
    “信息安全管理体系”(Information Security Management System)中的“体系”来自英文“System”。“System”当然可翻译为“体系”,但通常的译文应是“系统”。同样,“Management System”当然可翻译为“管理体系”,但通常也翻译为“管理系统”。例如在计算机领域中,一个十分常见的术语“Database Management System”,被普遍公认地翻译为“数据库管理系统”(简称DBMS),而几乎没有人将其翻译为“数据库管理体系”。很显然,如果把ISMS翻译为“信息安全管理系统”,也未尝不可。
    实际上,“体系”和“系统”的含义都一样:由若干个为实现共同目标而相互依赖、协调工作的部件(或组分)组成的统一体。这些组成“体系”或“系统”的部件也称“要素”(Element)。组成“体系”或“系统”的这些要素相互依赖,缺一不可。否则“体系”或“系统”就会受破坏、瘫痪,而不能工作或运行。例如,puter System)是由相互依赖的硬件和软件组成。如果硬件或软件受破坏,该计算机系统就不能正常运行。
    此外,“体系”或“系统”是可分级的,即有上级和下级之分。系统的上级称为上级系统。其下级称为子系统。
(2)ISMS的含义
    在ISO/IEC 27001标准中,已对ISMS做出了明确的定义。通俗地说,组织有一个总管理体系,ISMS是这个总管理体系的一部分,或总管理体系的一个子体系。ISMS的建立是以业务风险方法为基础,其目的是建立、实施、运行、监视、评审、保持和改进信息安全。
    如果一个组织有多个管理体系,例如包括ISMS、QMS(质量管理体系) 和EMS(环境管理体系) 等,那么这些管理体系就组成该组织的总管理体系,而每一个管理体系只是该组织总管理体系中的一个组分,或一个子管理体系。各个子管理体系必须相互配合、协调一致地工作,