信息安全管理體系(Information Security Management System,簡(jiǎn)稱(chēng)為ISMS)是1998年前后從英國發(fā)展起來(lái)的信息安全領(lǐng)域中的一個(gè)新概念。
近幾年來(lái),IT領(lǐng)域出現了全面的業(yè)務(wù)和技術(shù)的融合,IT技術(shù)的風(fēng)起云涌為人類(lèi)生活、生產(chǎn)方式和商業(yè)模式帶來(lái)了巨大的改變。伴隨著(zhù)全球網(wǎng)絡(luò )的高速發(fā)展與普及,隨之而來(lái)的全新網(wǎng)絡(luò )威脅、數據泄漏和欺詐的風(fēng)險,在世界范圍內引發(fā)了諸多危機。如何有效地避免云計算所存在的安全隱患,國際上關(guān)于“云”的組織聯(lián)盟都在積極地做出努力,在對相關(guān)技術(shù)水平提出更高要求的同時(shí),如何更好的建立企業(yè)自身的信息安全管理標準體系,也成為了行業(yè)日益關(guān)注的焦點(diǎn)。
國際標準化組織(ISO)和國際電工委員會(huì )(IEC)于2005年10月15日聯(lián)合發(fā)布了國際標準ISO/IEC 27001《信息技術(shù)-安全技術(shù)-信息安全管理體系-要求》,作為國際上具有代表性的信息安全管理體系標準,ISO 27001已在世界各地的政府機構、銀行、證券、保險公司、電信運營(yíng)商、網(wǎng)絡(luò )公司及許多跨國公司得到了廣泛應用。該標準重新定義了對信息安全管理體系(ISMS) 的要求,旨在幫助企業(yè)確保信息安全,有足夠并具有針對性的安全控制選擇。通過(guò)信息安全管理體系的建立、運行和改進(jìn),可以進(jìn)一步規范企業(yè)相關(guān)的信息管理工作,從而確保企業(yè)的信息安全問(wèn)題。
通過(guò)實(shí)施ISO27001信息安全管理體系,將為企業(yè)帶來(lái)多方面的益處,包括:
1. 證明企業(yè)內部控制具備獨立保障,并滿(mǎn)足公司信息安全管理和業(yè)務(wù)連續性要求;
2. 獨立證明已遵守各項適用的法律法規;
3. 通過(guò)滿(mǎn)足合同要求以提供競爭優(yōu)勢,并向客戶(hù)展示其云計算信息安全已受到保護;
4. 在使信息安全流程、程序和文件材料正式化的同時(shí),能夠獨立證明您的云服務(wù)相關(guān)信息安全風(fēng)險已得到妥善識別、評估和管理;
5. 證明高級管理層對其信息安全的承諾;定期的評估流程,有助于監控企業(yè)的績(jì)效并最終得到改善。
信息安全管理體系(ISMS)證書(shū)樣本: