信息安全管理體系的定義:Information Security Management Systems是組織在整體或特定範圍內建立信息安全方針和目標,以及完成這些目標所用方法的體系。它是直接管理活動的結果,表示成方針、原則、目標、方法、過程、核查表(Checklists)等要素的集合。
信息安全管理體系的遵循原則:
程序文件壹般不涉及純技術性的細節,細節通常在工作指令或作業指導書中規定;
程序文件是針對影響信息安全的各項活動的目標和執行做出的規定,它應闡明影響信息安全的管理人員、執行人員、驗證或評審人員的職責、權力和相互關系,說明實施各種不同活動的方式、將采用的文件及將采用的控制方式;
程序文件的範圍和詳細程度應取決於安全工作的復雜程度、所用的方法以及這項活動涉及人員所需的技能、素質和培訓程度;
程序文件應簡練、明確和易懂,使其具有可操作性和可檢查性;
程序文件應保持統壹的結構與編排格式,便於文件的理解與使用。
信息安全管理體系的註意事項:
程序文件要符合組織業務運作的實際,並具有可操作性;
可檢查性。實施信息安全管理體系的壹個重要標誌就是有效性的驗證。程序文件主要體現可檢查性,必要時附相應的控制標準;
在正式編寫程序文件之前,組織應根據標準的要求、風險評估的結果及組織的實際對程序文件的數量及其控制要點進行策劃,確保每個程序之間要有必要的銜接,避免相同的內容在不同的程序之間有較大的重復;另外,在能夠實現安全控制的前提下,程序文件數量和每個程序的篇幅越少越好;
程序文件應得到本活動相關部門負責人同意和接受,必須經過審批,註明修訂情況和有效期。