3.2 什么是ISMS

3.2 什么是ISMS

3.2.1　概述和原則

信息安全管理體系（ISMS）由策略、規程、指南和相關資源及活動組成，由組織集中管理，目的在于保護其信息資產。ISMS是建立、實施、運行、監視、評審、維護和改進組織信息安全來實現業務目標的系統方法。它是基于風險評估和組織的風險接受程度，為有效地處置和管理風險而設計。分析信息資產保護要求，并按要求應用適當的控制來切實保護這些信息資產，有助于ISMS的成功實施。下列基本原則也有助于ISMS的成功實施：
a) 意識到信息安全的需要；
b) 分配信息安全的責任；
c) 包含管理者的承諾和利益相關方的利益；
d) 提升社會價值；
e) 進行風險評估來確定適當的控制，以達到可接受的風險程度；
f) 將安全作為信息網絡和系統的基本要素；
g) 主動防范和發現信息安全事件；
h) 確保信息安全管理方法的全面性；

3.2.2　信息

信息是一種資產，像其他重要的業務資產一樣，對組織業務來說必不可少，因此需要得到適當保護。信息可以以多種形式存儲，包括：數字形式（例如，存儲在電子或光介質上的數據文件）、物質形式（例如，在紙上），以及以員工知識形式存在、未被表現的信息。信息可以采用各種手段進行傳輸，包括：信使、電子通信或口頭交流。不管信息采用什么形式存在或什么手段傳輸，它總是需要適當的保護。

3.2.3　信息安全

信息安全確保信息的保密性、可用性和完整性。信息安全包含應用和管理適當的控制，這些控制廣泛地考慮到各種威脅，目標是確保業務的持續成功和連續性，并最大限度地減少信息安全事件的后果。

3.2.4　管理

管理包含在適當的結構中指導、控制和持續改進組織的活動。管理活動包括組織、處理、指導、監督和控制資源的行為、方式或實踐。管理結構從小規模組織中的一個人擴展到大規模組織中由許多人組成的管理層次結構。

3.2.5　管理體系

管理體系采用一種資源框架來實現組織的目標。管理體系包括組織結構、策略、規劃、責任、實踐、規程、過程和資源。
就信息安全而言，管理體系使組織：
a) 滿足客戶和其他利益相關方的信息安全要求；
b) 改進組織的計劃和活動；
c) 滿足組織的信息安全目標；
d) 遵從法律法規、規章制度和行業規定；