什么是信息安全管理体系?
信息安全管理体系的定义:信息安全管理体系是组织在整体或特定范围内建立信息安全方针和目标,以及为完成这些目标所采用的方法的体系。它是直接管理活动的结果,表现为原则、原理、目标、方法、过程、清单和其他要素的集合。
信息安全管理体系的原则:
程序文件一般不涉及纯技术细节,通常在作业指导书或作业指导书上有明确规定;
程序性文件是对影响信息安全的各种活动的目标和实施的规定。它们应明确影响信息安全的管理者、执行者、审核者或审查者的责任、权力和关系,并说明实施各种活动的方式、应采用的文件和应采用的控制方法。
程序文件的范围和详细程度应取决于安全工作的复杂性、所使用的方法以及参与该活动的人员的技能、素质和培训水平;
程序文件应简明、清晰、易懂,以使其具有可操作性和可检查性;
程序文件应保持统一的结构和格式,以便于理解和使用文件。
信息安全管理体系中的注意事项:
程序文件应符合组织业务的实际运作,并具有可操作性;
可检查性。实施信息安全管理体系的一个重要标志是有效性的验证。程序文件主要体现可检查性,必要时有相应的控制标准;
在正式编制程序文件之前,组织应根据标准的要求、风险评估的结果和组织的实际情况,规划程序文件的数量及其控制点,以保证各程序之间的必要联系,避免不同程序之间相同内容的大量重复;另外,在安全可控的前提下,程序文件的数量和每个程序的长度要尽可能的小;
程序文件应得到本活动相关部门负责人的同意和接受,必须得到批准,并注明修订和有效期。