3.4 為什么ISMS重要

3.4 為什么ISMS重要

與組織的信息資產相關的風險需要加以解決。實現信息安全需要管理風險，包括與組織內部或組織使用的所有形式的信息相關，來自物理、人類和技術相關威脅的風險。

采用ISMS宜是一個組織的戰略決策，并且有必要根據組織的需要進行無縫集成、規模調整和更新。

設計和實施組織的ISMS受組織的需要和目標、安全要求、采用的業務過程以及組織的規模和結構影響。設計和運行ISMS需要反映組織的利益相關方（包括客戶、供應商、業務伙伴、股東和其他相關第三方）的利益和信息安全要求。

在相互連接的世界中，信息和相關的過程、系統和網絡組成關鍵業務資產。組織及其信息系統和網絡面臨來源廣泛的安全威脅，包括計算機輔助欺詐、間諜活動、蓄意破壞、火災和洪水。由惡意代碼、計算機黑客和拒絕服務攻擊造成的信息系統和網絡的損害已變得更加普遍、更有野心和日益復雜。

ISMS對于公共和私營部門業務都是重要的。在任何行業，ISMS是使電子商務成為可能，是風險管理活動所必需的。公共和私營網絡的互聯以及信息資產的共享增加了信息訪問控制和處理的難度。另外，含有信息資產的移動存儲設備的分布能夠消弱傳統控制的有效性。當組織采用了ISMS標準族，便可以向業務伙伴和其他受益相關方證明其運用一致的和互認的信息安全原則的能力。

在信息系統的設計和開發中，信息安全有時并沒被考慮到的。而且，信息安全常被認為是技術解決方案。然而，能夠通過技術手段實現的信息安全是有限的，并且若沒有ISMS語境下適當的管理和規程支持，可能是無效的。將安全集成到已經功能完備的信息系統中可能是困難和昂貴的。ISMS包含識別哪些控制已經就位，并且要求仔細規劃和注意細節。舉例來說，訪問控制，可能是技術的（邏輯的）、物理的、行政的（管理的）或某種組合，提供一種手段來確保對信息資產的訪問是基于業務和信息安全要求得到授權和受限制的。

成功采用ISMS對于保護信息資產是重要的，它使組織能夠：

a) 更好地保障其信息資產得到持續的充分保護免受威脅；

b) 保持一個結構化和全面的框架，來識別和評估信息安全風險，選擇和應用適用的控制，并測量和改進其有效性；

c) 持續改進其控制環境；

d) 有效地實現法律法規的合規性。