一、ISMS基本介紹
1、什么是ISMS
信息安全管理體系（Information Security Management System，簡(jiǎn)稱ISMS）起源于英國(guó)標(biāo)準(zhǔn)協(xié)會(huì)(BritishStandards Institution, BSI) 1990年代制定的英國(guó)國(guó)家標(biāo)準(zhǔn)BS7799，是系統(tǒng)化管理思想在信息安全領(lǐng)域的應(yīng)用。
信息安全管理體系是組織整體管理體系的一個(gè)部分，是組織在整體或特定范圍內(nèi)建立信息安全方針和目標(biāo)，以及完成這些目標(biāo)所用方法的體系?；趯?duì)業(yè)務(wù)風(fēng)險(xiǎn)的認(rèn)識(shí)，ISMS包括建立、實(shí)施、操作、監(jiān)視、復(fù)查、維護(hù)和改進(jìn)信息安全等一系列的管理活動(dòng)，并且表現(xiàn)為組織結(jié)構(gòu)、策略方針、計(jì)劃活動(dòng)、目標(biāo)與原則、人員與責(zé)任、過程與方法、資源等諸多要素的集合。
2、為什么需要ISMS
我們已經(jīng)身處信息時(shí)代，計(jì)算機(jī)和網(wǎng)絡(luò)已經(jīng)成為各類組織不可或缺的工具，信息成為組織賴以生存的重要資產(chǎn)，價(jià)值與日俱增，與此同時(shí)也面臨各種各樣、越來越多的安全威脅。病毒破壞、黑客攻擊、網(wǎng)絡(luò)欺詐、重要信息資料丟失、信息系統(tǒng)癱瘓以及利用計(jì)算機(jī)網(wǎng)絡(luò)實(shí)施的各種犯罪行為層出不窮、防不勝防。信息資產(chǎn)一旦遭到破壞，將給組織帶來直接的經(jīng)濟(jì)損失，并導(dǎo)致組織的聲譽(yù)和公眾形象受到損害，使組織喪失市場(chǎng)機(jī)會(huì)和競(jìng)爭(zhēng)力，甚至威脅組織的生存。因此，組織必須解決信息安全問題，有效保護(hù)信息資產(chǎn)。
常用的信息安全保障手段往往從信息安全產(chǎn)品入手，如防火墻、防病毒、入侵檢測(cè)、漏洞掃描、加密認(rèn)證、內(nèi)網(wǎng)管理、流量管理等等，用戶通過這些產(chǎn)品的安裝部署，實(shí)現(xiàn)相應(yīng)的安全功能。這些項(xiàng)目以產(chǎn)品為導(dǎo)向，以解決局部信息安全問題為主要目標(biāo)。
信息安全管理體系方法從組織的信息安全要求出發(fā)，以確定和實(shí)現(xiàn)組織信息安全目標(biāo)為宗旨，通過“PDCA”循環(huán)的過程方法，建立持續(xù)改進(jìn)、自我完善的信息安全工作機(jī)制。使組織采用適宜的控制措施，有效控制信息安全風(fēng)險(xiǎn)，適度保護(hù)信息資產(chǎn)安全，從而實(shí)現(xiàn)信息安全目標(biāo)，保持和改進(jìn)組織的信息安全水平和能力。
前者可以稱為“產(chǎn)品導(dǎo)向的信息安全解決方案”，后者則稱為“需求導(dǎo)向的信息安全解決方案”。前者的特點(diǎn)是“頭痛醫(yī)頭”，解決局部問題；后者則是系統(tǒng)考慮，實(shí)現(xiàn)信息安全的全局治理。
3、信息安全管理體系實(shí)施原理
信息安全管理體系關(guān)注11個(gè)信息領(lǐng)域，39項(xiàng)控制目標(biāo)，133條控制措施。通過螺旋式的提升過程，組織就能將不斷變化的的信息安全需求和期望轉(zhuǎn)化為可管理的信息安全。

4、ISMS認(rèn)證的適用范圍
ISO27001目前已經(jīng)被普遍應(yīng)用于軟件、銀行、電信、印刷、政府等行業(yè)。ISO/IEC27001從組織的整體業(yè)務(wù)風(fēng)險(xiǎn)的角度，為建立、實(shí)施、運(yùn)行、監(jiān)視、評(píng)審、保持和改進(jìn)文件化的ISMS規(guī)定了要求。它規(guī)定了為適應(yīng)不同組織或其部門的需要而定制的安全控制措施的實(shí)施要求。任何組織，不論其規(guī)模大小，所屬行業(yè)或地理位置如何，均可采納ISO/IEC27001標(biāo)準(zhǔn)。該標(biāo)準(zhǔn)尤其適合對(duì)信息安全有較高要求的行業(yè)，例如金融及IT行業(yè)。ISO/IEC27001對(duì)于代表他方管理信息的組織（例如IT外包公司、IC研發(fā)公司）也十分有效：它可用于使發(fā)包方有足夠的信息確信其信息得到接包方的有效保護(hù)。

二、實(shí)施ISMS的收益
1、預(yù)防信息安全事故，保證組織業(yè)務(wù)的連續(xù)性，使組織的重要信息資產(chǎn)受到與其價(jià)值相符的保護(hù)，包括防范：
? 重要的商業(yè)秘密信息的泄漏、丟失、篡改和不可用；
? 重要業(yè)務(wù)所依賴的信息系統(tǒng)因故障、遭受病毒或攻擊而中斷。
2、節(jié)省成本。一個(gè)好的ISMS不僅可通過避免安全事故而使組織節(jié)省成本，而且也能幫助組織合理籌劃信息安全費(fèi)用支出，包括：
? 依據(jù)信息資產(chǎn)的風(fēng)險(xiǎn)級(jí)別，安排安全控制措施的投資優(yōu)先級(jí)；
? 對(duì)于可接受的信息資產(chǎn)的風(fēng)險(xiǎn)，不投資安全控制。
3、保持組織良好的競(jìng)爭(zhēng)力和成功運(yùn)作的狀態(tài)，提高在公眾中的形象和聲譽(yù)，最大限度的增加投資回報(bào)和商業(yè)機(jī)會(huì)，增強(qiáng)客戶、合作伙伴等相關(guān)方的信任和信心。
4、強(qiáng)化員工的信息安全意識(shí)，規(guī)范組織的信息安全行為。
5、定期評(píng)估過程有助于組織持續(xù)監(jiān)控績(jī)效與改進(jìn)，有助于管理和保護(hù)組織寶貴的信息資產(chǎn)。
實(shí)施

蘇州思特瑞信息技術(shù)有限公司
姓名：葉小姐
電話：0512-62653189
手機(jī)：13584882490
Q Q：997407315
郵箱：lily@szstr.com
地址：蘇州工業(yè)園區(qū)仁愛路258號(hào)C207