ISMS信息安全管理體係(doc 30頁)

ISMS信息安全管理體係目錄：
1、ISMS概述3
1.1、什麼是ISMS3
1.2、為什麼需要ISMS4
1.3、如何建立ISMS6
2、ISMS標準11
2.1、ISMS標準體係－ISO/IEC27000族簡介11
2.2、信息安全管理實用規則－ISO/IEC27002:2005介紹16
2.3、信息安全管理體係要求－ISO/IEC27001:2005介紹20
3、ISMS認證24
3.1、什麼是ISMS認證24
3.2、為什麼要進行ISMS認證24
3.3、ISMS認證適合何種類型的組織25
3.4、全球ISMS認證狀況及發展趨勢26
3.5、如何建設ISMS並取得認證31

ISMS信息安全管理體係內容摘要：
什麼是ISMS
信息安全管理體係（Information Security Management System，簡稱為ISMS）是1998年前後從英國發展起來的信息安全領域中的一個新概念，是管理體係（Management System，MS）思想和方法在信息安全領域的應用。近年來，伴隨著ISMS國際標準的製修訂，ISMS迅速被全球接受和認可，成為世界各國、各種類型、各種規模的組織解決信息安全問題的一個有效方法。ISMS認證隨之成為組織向社會及其相關方證明其信息安全水平和能力的一種有效途徑。
在ISMS的要求標準ISO/IEC27001:2005（信息安全管理體係 要求）的第3章術語和定義中，對ISMS的定義如下：
ISMS（信息安全管理體係）：是整個管理體係的一部分。它是基於業務風險方法，來建立、實施、運行、監視、評審、保持和改進信息安全的。注：管理體係包括組織結構、方針策略、規劃活動、職責、實踐、程序、過程和資源。
這個定義看上去同其他管理體係的定義描述不盡相同，但我們也可以用ISO GUIDE 72:2001（Guidelines for the justification and development of management system standards管理體係標準合理性和製定導則）中管理體係的定義，將ISMS描述為：組織在信息安全方麵建立方針和目標，並實現這些目標的一組相互關聯、相互作用的要素。
ISMS同其他MS（如QMS、EMS、OHSMS）一樣，有許多共同的要素，其原理、方法、過程和體係的結構也基本一致。
單純從定義理解，可能無法立即掌握ISMS的實質，我們可以把ISMS理解為一台“機器”，這台機器的功能就是製造“信息安全”，它由許多“部件”（要素）構成，這些“部件”包括ISMS管理機構、ISMS文件以及資源等，ISMS通過這些“部件”之間的相互作用來實現其“保障信息安全”的功能。

..............................