何为信息安全管理体系？

从内部电子邮件，销售材料到财务报表，各行业的各种规模的组织每天都要处理大量的信息。对于一个人像你这样组织，这些信息将会是竞争中优势 – 这是你如何解决问题，获得大客户，抢占你的市场份额。信息安全管理体系（ISMS）的目的是将您的业务信息（包括在线和个人）单独加以保护。

尽管信息安全管理体系的实施各个组织间将各不相同，还有所有的信息安全管理体系必须遵守保护企业的信息资产的有效性这一基本原则。这些原则 – 下面提到其中的一部分 – 将在你获得 ISO/IEC 在 27001 认证的过程中提供帮助和指导。

成功实施 ISMS 的第一步是使主要利益相关者意识到信息安全的必要性。如果不招纳有能力实施，监督，或维护 ISMS 的人员，将难以创建和维护一个经认证的信息安全管理体系的实施和维持所需要的勤勉度。

为了使组织的信息安全管理体系是有效的，就必须分析每一个信息资产的安全需求，并运用相应的手段进行控制，以保持这些资产的安全。并非所有的信息资产需要相同的控制，信息安全并没有什么灵丹妙药。信息的来源五花八门，因此通过管控才能让您的信息安全。

实施 ISMS 是一个长度不定的项目。为了使组织远离信息安全的威胁，信息安全管理体系必须不断地改进和发展，以满足快速变化的技术格局。因此，信息安全管理体系的持续再评估是必须的。通过对 ISMS 频繁的测试和评估，组织就会知道他们的信息是否仍然受到保护，或者是否需要进行修改。

这些都只是一些安全管理体系实施原则的指导信息。欲了解更多信息，请通过拨打 1-800-800-7910 或发送邮件至 [email protected] 与PJR专家进行交谈。

虽然建立一个信息安全管理系统有许多技术方面的因素，但 ISMS 绝大部分是属于管理的范畴。

信息安全交换中最薄弱的环节是日常控制和访问重要信息的员工。信息安全管理体系必须包括防止组织员工数据滥用的政策和程序。这些政策必须具有后台和监督管理，以便使其有效。

除正式的政策和流程的变化外，组织管理也必须改变其企业文化，以反映其对信息安全的重视。这绝不是一件容易的事，但它是有效实施信息安全管理体系的关键。

如同组织正在适应的不断变化的商业环境一样，信息安全管理体系也必须要适应不断变化的技术进步和新的组织信息。为了适应这些变化的环境，ISO/IEC 27001 需要利用计划 – 实施 – 检查 – 行动的流程方法来实现 ISMS.

PJR 和行业动态