什么是信息安全管理体系

1. 什么是信息安全管理体系

信息安全管理体系的定义：Information Security Management Systems是组织在整体或特定范围内建立信息安全方针和目标，以及完成这些目标所用方法的体系。它是直接管理活动的结果，表示成方针、原则、目标、方法、过程、核查表(Checklists)等要素的集合。
信息安全管理体系的遵循原则：
程序文件一般不涉及纯技术性的细节，细节通常在工作指令或作业指导书中规定；
程序文件是针对影响信息安全的各项活动的目标和执行做出的规定，它应阐明影响信息安全的管理人员、执行人员、验证或评审人员的职责、权力和相互关系，说明实施各种不同活动的方式、将采用的文件及将采用的控制方式；
程序文件的范围和详细程度应取决于安全工作的复杂程度、所用的方法以及这项活动涉及人员所需的技能、素质和培训程度；
程序文件应简练、明确和易懂，使其具有可操作性和可检查性；
程序文件应保持统一的结构与编排格式，便于文件的理解与使用。
信息安全管理体系的注意事项：
程序文件要符合组织业务运作的实际，并具有可操作性；
可检查性。实施信息安全管理体系的一个重要标志就是有效性的验证。程序文件主要体现可检查性，必要时附相应的控制标准；
在正式编写程序文件之前，组织应根据标准的要求、风险评估的结果及组织的实际对程序文件的数量及其控制要点进行策划，确保每个程序之间要有必要的衔接，避免相同的内容在不同的程序之间有较大的重复；另外，在能够实现安全控制的前提下，程序文件数量和每个程序的篇幅越少越好；
程序文件应得到本活动相关部门负责人同意和接受，必须经过审批，注明修订情况和有效期。

2. 什么是信息安全管理体系

信息安全管理体系(Information Security Management 
System，简称为ISMS)是1998年前后从英国发展起来的信息安全领域中的一个新概念，是管理体系(Management 
System，MS)思想和方法在信息安全领域的应用。近年来，伴随着ISMS国际标准的制修订，ISMS迅速被全球接受和认可，成为世界各国、各种类型、各种规模的组织解决信息安全问题的一个有效方法。ISMS认证随之成为组织向社会及其相关方证明其信息安全水平和能力的一种有效途径。

3. 信息系统安全体系内容有哪些？

(1)实体安全
这里所讲的实体不仅包括计算机系统实体和通讯线路，还包括物流信息采集设备和一些物流设备所装的传感器。为保证实体安全，主要可采取以下措施：计算机系统的安全;
实体信息设备的安全;
关键的实体设备的安全。
（2）物流信息系统访问控制的安全性
访问控制是物流信息系统安全机制的核心，它包含3个方面内容：保护被访问的客体；对用户存取访问权限的确定、授予、实施；在保证系统安全的前提下，最大限度地共享资源。
（3）操作系统平台的安全主要包括：对存储器的安全保护；对文件、目录的安全保护。另外，操作系统还应该安装防火墙及病毒查杀程序，以提高整个信息系统的可靠性与安全性。　　
（4）数据安全
主要包括：对输出数据的安全控制；对输入数据的安全控制；对数据库管理系统的安全防护；对数据进行加密
。
（5）管理制度的安全保护
管理制度的安全保护是指在开发人员和使用人员中建立完善的安全制度，并使其充分认识计算机系统安全的重要性，自觉执行安全制度，从而形成对物流信息系统的一个管理保护层。

4. 信息系统安全体系内容有哪些?

(1)实体安全
这里所讲的实体不仅包括计算机系统实体和通讯线路，还包括物流信息采集设备和一些物流设备所装的传感器。为保证实体安全，主要可采取以下措施：计算机系统的安全;
实体信息设备的安全;
关键的实体设备的安全。
（2）物流信息系统访问控制的安全性
访问控制是物流信息系统安全机制的核心，它包含3个方面内容：保护被访问的客体；对用户存取访问权限的确定、授予、实施；在保证系统安全的前提下，最大限度地共享资源。
（3）操作系统平台的安全主要包括：对存储器的安全保护；对文件、目录的安全保护。另外，操作系统还应该安装防火墙及病毒查杀程序，以提高整个信息系统的可靠性与安全性。　　
（4）数据安全
主要包括：对输出数据的安全控制；对输入数据的安全控制；对数据库管理系统的安全防护；对数据进行加密
。
（5）管理制度的安全保护
管理制度的安全保护是指在开发人员和使用人员中建立完善的安全制度，并使其充分认识计算机系统安全的重要性，自觉执行安全制度，从而形成对物流信息系统的一个管理保护层。

5. 信息安全体系结构中主要包括

信息系统安全体系由技术体系、管理体系和组织机构体系组成，三个层面缺一不可。信息安全技术体系包括物理安全技术、系统安全技术、网络安全技术、应用安全技术和管理安全性。OSI将整个通信功能划分为7个层次，分别是：应用层、表示层、会话层、传输层、网络层、数据链路层和物理层。常见的安全机制包括防护机制、检测机制与恢复机制三大类。
1、五大类安全服务：鉴别服务、访问控制服务、数据机密性服务、数据完整性服务和抗否认性服务。

2、八大类安全机制包括括加密机制、数据签名机制、访问控制机制、数据完整性机制、认证机制、业务流填充机制、路由控制机制、公正机制。
3、OSI安全服务与安全机制的关系安全机制和安全服务关系密切、不可分割，安全服务利于一种或多种安全机制进行反击。如下图所示:

6. 信息安全管理体系的概述

信息安全管理体系（Information Security Management System，简称为ISMS）是1998年前后从英国发展起来的信息安全领域中的一个新概念，是管理体系（Management System，MS）思想和方法在信息安全领域的应用。近年来，伴随着ISMS国际标准的制修订，ISMS迅速被全球接受和认可，成为世界各国、各种类型、各种规模的组织解决信息安全问题的一个有效方法。ISMS认证随之成为组织向社会及其相关方证明其信息安全水平和能力的一种有效途径。 信息安全管理体系是组织机构单位按照信息安全管理体系相关标准的要求，制定信息安全管理方针和策略，采用风险管理的方法进行信息安全管理计划、实施、评审检查、改进的信息安全管理执行的工作体系。 信息安全管理体系是按照ISO/IEC 27001标准《信息技术 安全技术 信息安全管理体系要求》的要求进行建立的，ISO/IEC 27001标准是由BS7799-2标准发展而来。信息安全管理体系ISMS是建立和维持信息安全管理体系的标准，标准要求组织通过确定信息安全管理体系范围、制定信息安全方针、明确管理职责、以风险评估为基础选择控制目标与控制方式等活动建立信息安全管理体系；体系一旦建立组织应按体系规定的要求进行运作，保持体系运作的有效性；信息安全管理体系应形成一定的文件，即组织应建立并保持一个文件化的信息安全管理体系，其中应阐述被保护的资产、组织风险管理的方法、控制目标及控制方式和需要的保证程度。

7. 什么是建立信息安全管理体系的基础

风险管理。风险管理是建立信息安全管理体系的核心内容。
信息安全管理体系（Information Security Management System）（简称ISMS）是系统地解决信息安全问题的有效途径。ISMS是组织整体管理体系的一个部分，是组织在整体或特定范围内建立信息安全方针和目标，以及完成这些目标所用方法的体系。所以，ISO/IEC27001作为当前国际上具有代表性的信息安全管理体系标准，得到了越来越多国家的认可。

结合对ISO27001理论、风险管理理论，笔者研究分析了企业的现状和安全需求，提出了可行的风险评估方法，设计了风险评估的流程，并在企业ISMS体系的实施过程中，根据企业特点，设计了一系列的表单，采用了一些适合的方式，使得风险评估方法和设计在实施过程中得到了很好的应用，企业ISMS体系顺利通过了ISO/IEC 27001的认证。
在资产识别过程中，围绕客户的IC设计资料所进行的业务进行BIF分析，效率高，并确保了重要资产识别的完整性。在风险评估中，通过以脆弱性为主线，结合ISO27001标准的控制点的识别方式，获得了全面丰富的风险信息，有利于企业把握目前所面临的风险，提高风险的可控性。

8. 信息安全管理体系是建立在什么的基础之上

信息安全管理体系是建立在网络基础之上。

信息安全管理体系（Information Security Management System，简称ISMS）是组织整体管理体系的一个部分，是组织在整体或特定范围内建立信息安全方针和目标，以及完成这些目标所用方法的体系。
基于对业务风险的认识，ISMS 包括建立、实施、操作、监视、复查、维护和改进信息安全等一系列的管理活动，并且表现为组织结构、策略方针、计划活动、目标与原则、人员与责任、过程与方法、资源等诸多要素的集合。

ISO/IEC27001:2005 就是建立和维护信息安全管理体系的标准，是国际最具权威的适用于各类组织的信息安全整体解决方案，它要求通过PDCA过程来建立ISMS 框架：确定体系范围，制定信息安全策略，明确管理职责，通过风险评估确定控制目标和控制方式。体系一旦建立，组织应该实施、维护和持续改进ISMS，保持体系运作的有效性。
同时，ISO/IEC27001:2005也非常强调信息安全管理过程中文件化的工作，ISMS 的文件体系应该包括安全策略、适用性声明（选择与未选择的控制目标和控制措施）、实施安全控制所需的程序文件、ISMS 控制和操作程序，以及组织围绕ISMS 开展的所有活动的证明材料。
除此之外，它还提供了国际上知名企业在信息安全方面的133个良好实践惯例，通过对组织中涉及信息安全的11大领域实施这133个控制措施来达到涵盖整个组织信息安全的39个控制目标，从而实现整个组织的业务持续发展战略。