信息安全管理體系(Information Security Management System��,簡稱為ISMS)是1998年前后從英國發(fā)展起來的信息安全領(lǐng)域中的一個(gè)新概念。
近幾年來�,IT領(lǐng)域出現(xiàn)了全面的業(yè)務(wù)和技術(shù)的融合,IT技術(shù)的風(fēng)起云涌為人類生活�����、生產(chǎn)方式和商業(yè)模式帶來了巨大的改變��。伴隨著全球網(wǎng)絡(luò)的高速發(fā)展與普及�����,隨之而來的全新網(wǎng)絡(luò)威脅�����、數(shù)據(jù)泄漏和欺詐的風(fēng)險(xiǎn)�����,在世界范圍內(nèi)引發(fā)了諸多危機(jī)���。如何有效地避免云計(jì)算所存在的安全隱患�����,國際上關(guān)于“云”的組織聯(lián)盟都在積極地做出努力�����,在對相關(guān)技術(shù)水平提出更高要求的同時(shí)���,如何更好的建立企業(yè)自身的信息安全管理標(biāo)準(zhǔn)體系����,也成為了行業(yè)日益關(guān)注的焦點(diǎn)���。
國際標(biāo)準(zhǔn)化組織(ISO)和國際電工委員會(IEC)于2005年10月15日聯(lián)合發(fā)布了國際標(biāo)準(zhǔn)ISO/IEC 27001《信息技術(shù)-安全技術(shù)-信息安全管理體系-要求》�,作為國際上具有代表性的信息安全管理體系標(biāo)準(zhǔn)�����,ISO 27001已在世界各地的政府機(jī)構(gòu)���、銀行、證券�����、保險(xiǎn)公司、電信運(yùn)營商�、網(wǎng)絡(luò)公司及許多跨國公司得到了廣泛應(yīng)用。該標(biāo)準(zhǔn)重新定義了對信息安全管理體系(ISMS) 的要求���,旨在幫助企業(yè)確保信息安全��,有足夠并具有針對性的安全控制選擇����。通過信息安全管理體系的建立�����、運(yùn)行和改進(jìn)���,可以進(jìn)一步規(guī)范企業(yè)相關(guān)的信息管理工作����,從而確保企業(yè)的信息安全問題��。
通過實(shí)施ISO27001信息安全管理體系��,將為企業(yè)帶來多方面的益處�,包括:
1. 證明企業(yè)內(nèi)部控制具備獨(dú)立保障�����,并滿足公司信息安全管理和業(yè)務(wù)連續(xù)性要求����;
2. 獨(dú)立證明已遵守各項(xiàng)適用的法律法規(guī)����;
3. 通過滿足合同要求以提供競爭優(yōu)勢,并向客戶展示其云計(jì)算信息安全已受到保護(hù)����;
4. 在使信息安全流程、程序和文件材料正式化的同時(shí)���,能夠獨(dú)立證明您的云服務(wù)相關(guān)信息安全風(fēng)險(xiǎn)已得到妥善識別��、評估和管理��;
5. 證明高級管理層對其信息安全的承諾���;定期的評估流程,有助于監(jiān)控企業(yè)的績效并最終得到改善。
信息安全管理體系(ISMS)證書樣本:
