壹、主要作用:
1、信息安全管理體系,是建立和維持信息安全管理體系的標準,標準要求組織通過確定信息安全管理體系範圍、制定信息安全方針、明確管理職責、以風險評估為基礎選擇控制目標與控制方式等活動建立信息安全管理體系;
2、體系壹旦建立組織應按體系規定的要求進行運作,保持體系運作的有效性;
3、信息安全管理體系應形成壹定的文件,即組織應建立並保持壹個文件化的信息安全管理體系,其中應闡述被保護的資產、組織風險管理的方法、控制目標及控制方式和需要的保證程度。
二、相關應用:
主要是在PDCA上面的應用,何為PDCA?
1、計劃(Plan)——根據風險評估結果、法律法規要求、組織業務運作自身需要來確定控制目標與控制措施;
2、實施(Do)——實施所選的安全控制措施;
3、檢查(Check)——依據策略、程序、標準和法律法規,對安全措施的實施情況進行符合性檢查;
4、改進(Action)——根據ISMS審核、管理評審的結果及其他相關信息,采取糾正和預防措施,實現信息安全管理體系的持繼改進。