信息安全管理體係的規範與使用指南(doc 33頁)

信息安全管理體係的規範與使用指南目錄：
1、範圍
2、標準參考
3、名詞與定義
4、信息安全管理體係要求
5、管理職責
6、信息安全管理體係管理評審
7、信息安全管理體係改進

信息安全管理體係的規範與使用指南內容摘要：
總則
　　本標準的目的是為業務經理和他們的員工提供建立和管理一個有效的信息安全管理體係（ISMS）的模型。采用ISMS應是一個組織的戰略決定。一個組織的ISMS的設計和實施受業務需要和目標、產生的安全需求、采用的過程及組織的大小、結構的影響。上述因素和他們的支持過程預計會隨事件而變化。希望簡單的情況是用簡單的ISMS解決方案。
　　本標準可以又內部、外部包括認證組織使用審核一個組織符合其本身的需要及客戶和法律的要求的能力。
過程方法
　　本標準推薦采用過程的方法開發、實施和改進一個組織的ISMS的有效性。
　　一個組織必須識別和管理許多活動使其有效地運行。一個活動使用資源和在管理狀態下使其能夠把輸入轉換為輸出，這個過程可以被認為是一個過程。經常地，一個過程的輸出直接形成了下一個過程的輸入。
　　在一個組織用應用一個過程的體係，並識別這些過程、過程間的相互作用及過程的管理，可以叫做過程的方法。
過程的方法鼓勵使用者強調一下重要性：
　　a)理解業務信息安全需求和建立信息安全方針和目標的需求；
　　b)在全麵管理組織業務風險的環境下實施也運作控製措施；
　　c)監控和評審ISMS的有效性和績效；
　　d)在客觀評價的基礎上持續改進。

..............................