信息安全管理體系是建立在網絡基礎之上。
信息安全管理體系(Information Security Management System,簡稱ISMS)是組織整體管理體系的壹個部分,是組織在整體或特定範圍內建立信息安全方針和目標,以及完成這些目標所用方法的體系。
基於對業務風險的認識,ISMS 包括建立、實施、操作、監視、復查、維護和改進信息安全等壹系列的管理活動,並且表現為組織結構、策略方針、計劃活動、目標與原則、人員與責任、過程與方法、資源等諸多要素的集合。
ISO/IEC27001:2005 就是建立和維護信息安全管理體系的標準,是國際最具權威的適用於各類組織的信息安全整體解決方案,它要求通過PDCA過程來建立ISMS 框架:確定體系範圍,制定信息安全策略,明確管理職責,通過風險評估確定控制目標和控制方式。體系壹旦建立,組織應該實施、維護和持續改進ISMS,保持體系運作的有效性。
同時,ISO/IEC27001:2005也非常強調信息安全管理過程中文件化的工作,ISMS 的文件體系應該包括安全策略、適用性聲明(選擇與未選擇的控制目標和控制措施)、實施安全控制所需的程序文件、ISMS 控制和操作程序,以及組織圍繞ISMS 開展的所有活動的證明材料。
除此之外,它還提供了國際上知名企業在信息安全方面的133個良好實踐慣例,通過對組織中涉及信息安全的11大領域實施這133個控制措施來達到涵蓋整個組織信息安全的39個控制目標,從而實現整個組織的業務持續發展戰略。