信息安全管理體系(Information Security Management System��,簡(jiǎn)稱(chēng)為ISMS)是1998年前后從英國(guó)發(fā)展起來(lái)的信息安全領(lǐng)域中的一個(gè)新概念�����。
近幾年來(lái),IT領(lǐng)域出現(xiàn)了全面的業(yè)務(wù)和技術(shù)的融合,IT技術(shù)的風(fēng)起云涌為人類(lèi)生活���、生產(chǎn)方式和商業(yè)模式帶來(lái)了巨大的改變�����。伴隨著全球網(wǎng)絡(luò)的高速發(fā)展與普及����,隨之而來(lái)的全新網(wǎng)絡(luò)威脅����、數(shù)據(jù)泄漏和欺詐的風(fēng)險(xiǎn),在世界范圍內(nèi)引發(fā)了諸多危機(jī)���。如何有效地避免云計(jì)算所存在的安全隱患�,國(guó)際上關(guān)于“云”的組織聯(lián)盟都在積極地做出努力����,在對(duì)相關(guān)技術(shù)水平提出更高要求的同時(shí),如何更好的建立企業(yè)自身的信息安全管理標(biāo)準(zhǔn)體系�����,也成為了行業(yè)日益關(guān)注的焦點(diǎn)。
國(guó)際標(biāo)準(zhǔn)化組織(ISO)和國(guó)際電工委員會(huì)(IEC)于2005年10月15日聯(lián)合發(fā)布了國(guó)際標(biāo)準(zhǔn)ISO/IEC 27001《信息技術(shù)-安全技術(shù)-信息安全管理體系-要求》����,作為國(guó)際上具有代表性的信息安全管理體系標(biāo)準(zhǔn),ISO 27001已在世界各地的政府機(jī)構(gòu)���、銀行���、證券�����、保險(xiǎn)公司�、電信運(yùn)營(yíng)商、網(wǎng)絡(luò)公司及許多跨國(guó)公司得到了廣泛應(yīng)用���。該標(biāo)準(zhǔn)重新定義了對(duì)信息安全管理體系(ISMS) 的要求�����,旨在幫助企業(yè)確保信息安全�����,有足夠并具有針對(duì)性的安全控制選擇�����。通過(guò)信息安全管理體系的建立��、運(yùn)行和改進(jìn)���,可以進(jìn)一步規(guī)范企業(yè)相關(guān)的信息管理工作����,從而確保企業(yè)的信息安全問(wèn)題����。
通過(guò)實(shí)施ISO27001信息安全管理體系,將為企業(yè)帶來(lái)多方面的益處��,包括:
1. 證明企業(yè)內(nèi)部控制具備獨(dú)立保障�,并滿足公司信息安全管理和業(yè)務(wù)連續(xù)性要求;
2. 獨(dú)立證明已遵守各項(xiàng)適用的法律法規(guī)�����;
3. 通過(guò)滿足合同要求以提供競(jìng)爭(zhēng)優(yōu)勢(shì)�,并向客戶(hù)展示其云計(jì)算信息安全已受到保護(hù)��;
4. 在使信息安全流程�����、程序和文件材料正式化的同時(shí)���,能夠獨(dú)立證明您的云服務(wù)相關(guān)信息安全風(fēng)險(xiǎn)已得到妥善識(shí)別、評(píng)估和管理��;
5. 證明高級(jí)管理層對(duì)其信息安全的承諾��;定期的評(píng)估流程����,有助于監(jiān)控企業(yè)的績(jī)效并最終得到改善��。
信息安全管理體系(ISMS)證書(shū)樣本:
