信息安全管理体系(Information Security Management System,简称为ISMS)是1998年前后从英国发展起来的信息安全领域中的一个新概念。
近几年来,IT领域出现了全面的业务和技术的融合,IT技术的风起云涌为人类生活、生产方式和商业模式带来了巨大的改变。伴随着全球网络的高速发展与普及,随之而来的全新网络威胁、数据泄漏和欺诈的风险,在世界范围内引发了诸多危机。如何有效地避免云计算所存在的安全隐患,国际上关于“云”的组织联盟都在积极地做出努力,在对相关技术水平提出更高要求的同时,如何更好的建立企业自身的信息安全管理标准体系,也成为了行业日益关注的焦点。
国际标准化组织(ISO)和国际电工委员会(IEC)于2005年10月15日联合发布了国际标准ISO/IEC 27001《信息技术-安全技术-信息安全管理体系-要求》,作为国际上具有代表性的信息安全管理体系标准,ISO 27001已在世界各地的政府机构、银行、证券、保险公司、电信运营商、网络公司及许多跨国公司得到了广泛应用。该标准重新定义了对信息安全管理体系(ISMS) 的要求,旨在帮助企业确保信息安全,有足够并具有针对性的安全控制选择。通过信息安全管理体系的建立、运行和改进,可以进一步规范企业相关的信息管理工作,从而确保企业的信息安全问题。
通过实施ISO27001信息安全管理体系,将为企业带来多方面的益处,包括:
1. 证明企业内部控制具备独立保障,并满足公司信息安全管理和业务连续性要求;
2. 独立证明已遵守各项适用的法律法规;
3. 通过满足合同要求以提供竞争优势,并向客户展示其云计算信息安全已受到保护;
4. 在使信息安全流程、程序和文件材料正式化的同时,能够独立证明您的云服务相关信息安全风险已得到妥善识别、评估和管理;
5. 证明高级管理层对其信息安全的承诺;定期的评估流程,有助于监控企业的绩效并最终得到改善。
信息安全管理体系(ISMS)证书样本: