信息安全管理体系(ISMS)介绍

信息安全管理体系(ISMS)是由国际标准化组织,在ISO27001标准中提出的一套关于信息安全建设的理论。该理论认为,为了保证组织的信息安全管理工作持续有效,就必须建立一套安全管理体系,以代替旧式的,被动式的安全管理制度。信息安全管理体系的核心即风险管理,通过建立PDCA循环,在PDCA循环中,不断根据组织自身IT环境的变化或安全环境的变化而变化,达到体系化保护的目的,  信息安全管理作为组织完整的管理体系中一个重要的环节,它构成了信息安全具有能动性的部分,是指导和控制组织的关于信息安全风险的相互协调的活动,该方法论也已经被国际公认为进行信息安全。

信息安全管理体系(ISMS)用户需求

天融信在深入解读用户方ISMS内审及优化需求的同时,根据自身信息安全管理体系建设的丰富经验,针对性的为用户方提供符合用户需求的信息管理体系建设方案。在参考用户当前的组织架构,依托现有信息安全管理组织的基础上,通过与信息安全组织各阶层人员的互动和沟通后,对用户IT系统的实际情况进行详细调研,有针对性,分步骤的对用户的信息安全管理制度进行梳理和完善,通过风险评估的方式,明确用户信息安全管理现状与国际国内安全标准的管理差距。在分析安全管理差距的基础上,完善信息安全管理制度体系,落实信息安全管理机制,有效提升信息安全管理水平和员工信息安全意识。


信息安全管理体系建设内容

2.jpg

ISMS体系文件策略文档的规划层次参考ISO9000的相关要求和方法,划分为4个层次,各层次之间的关系简述如下:

微信图片_20180720165913.jpg一级:方针、目标

最高方针,纲领性的安全策略主文档,陈述本策略的目的、适用范围、信息安全的管理意图、支持目标以及指导原则,网络安全各个方面所应遵守的原则方法和指导性策略。

微信图片_20180720165913.jpg二级:程序、流程

管理程序和流程,详细规定主要业务应用和事件处理的流程和步骤,和相关注意事项。

技术标准和规范,包括各个网络设备、主机操作系统和主要应用程序的应遵守的安全配置和管理的技术标准和规范。技术标准和规范将作为各个网络设备、主机操作系统和应用程序的安装、配置、采购、项目评审、日常安全管理和维护时必须遵照的标准,不允许发生违背和冲突。

微信图片_20180720165913.jpg三级:制度、指南、规范

各类管理制度、规定、管理办法和指南。从安全策略主文档中规定的安全各个方面所应遵守的原则方法和指导性策略引出的具体管理规定、管理办法和实施办法,是必须具有可操作性,而且必须得到有效推行和实施的。

微信图片_20180720165913.jpg四级:相关记录

ISMS体系所要求的各种记录文件是证明ISMS持续性运行的必要条件,所有1、2.、3级策略文件所要求的记录文件必须得到记录。


信息安全管理体系(ISMS)建设流程

根据用户方设计要求,遵循:现状调研、风险评估、体系策划、体系实施、体系试运行和知识转移的流程,如右图:

1.现状调研阶段: 是项目的前提,只有充分了解用户安全现状的前提下,才能确保项目有效性。

2.风险评估阶段: 是项目的基础,充分详细的风险评估是了解客户风险的必要工作。

3.体系规划阶段: 是项目的核心,只有适合的、有效的的体系规划才能真正提高安全水平。

4.体系运行实施阶段: 是项目的灵魂,只有策划的体系能真正落到执行,才是有效的体系。

5.外部审核阶段: 是项目的考核,由第三方权威的机构审核体系是否真的有效。

6.知识转移阶段: 是项目的知识转移过程,贯穿项目的每个阶段,交给用户完整的方法论。


带给用户的价值

满足ISO 27001信息安全管理体系标准,保障信息安全管理的规范性和科学性;

通过PDCA模式建立风险管理机制建立成体系的信息安全策略、制度、流程、表单,保障信息系统的安全稳定运行;

根据国家网络安全法要求,依据ISO27001标准提升用户信息安全管理水平,夯实用户信息安全管理基础,降低违法可能带来的经济和行政处罚的风险;

为客户构建覆盖全面、突出重点、节约成本、符合实际的信息安全管理体系,为业务活动提供充分的安全保障;

构建完善的ISMS体系,改进和完善用户的风险管理水平,维护用户的声誉、品牌和客户信任度;

降低用户业务中断的风险,减少可能潜在的风险隐患,减少信息系统故障、人员流失带来的经济损失;

有效提升员工信息安全意识,规范组织信息安全行为。


天融信成功案例

  国务院新闻办政府门户网站等级保护建设方案设计项目

  外交部信息安全等级保护整改项目

  中国出口信用保险公司等级保护(三级)咨询项目

  国家气象中心信息系统安全等级保护网络系统安全试点安全服务及集成项目

  中国航空油料集团公司等级保护建设项目

  保护三级符合性评估服务项目

  海南电网公司信息系统等级防护服务项目

  神华国能集团等级保护评估服务项目

  河南中烟工业公司安全咨询服务项目


天融信服务优势

天融信公司具备多年从业经验的安全专家,以用户的业务需求为起点,天融信将协助用户完成完整有效的信息安全管理体系(ISMS),提升用户信息安全管理水平,提高用户核心竞争力,天融信的服务具备如下的优势:

天融信是行业内最全、等级最高的各类安全服务、集成、应急服务资质;

天融信信息安全管理体系建设方案是个周期性、持续性的信息安全保障体系,依据PDCA模型,遵从安全解决的思路与定律,不断的持续改进,不断的完善你的安全;

天融信安全服务团队丰富的信息安全管理体系建设经验,以全国分支机构技术力量为基础、总部顶尖专家为依托,已形成了强大的项目实施及运营能力,为用户提供有力的技术支持;

天融信信息安全管理体系建设方案的制定不仅参考了天融信10年信息安全服务的实施经验,同时也根据自身通过ISO27001认证的经验,更能够从客户角度来分析客户需求;

天融信通过严格有效的项目管理,为项目的高效,保质实施提供保障。


PRODUCT CATALOGUE
产品彩页
点击下载产品彩页
QUICK CONTACT
快捷通道
产品中心
解决方案
安全研究
技术支持
关于我们