資訊保安管理體系的定義:Information Security Management Systems是組織在整體或特定範圍內建立資訊保安方針和目標,以及完成這些目標所用方法的體系。它是直接管理活動的結果,表示成方針、原則、目標、方法、過程、核查表(Checklists)等要素的集合。
資訊保安管理體系的遵循原則:
程式檔案一般不涉及純技術性的細節,細節通常在工作指令或作業指導書中規定;
程式檔案是針對影響資訊保安的各項活動的目標和執行做出的規定,它應闡明影響資訊保安的管理人員、執行人員、驗證或評審人員的職責、權力和相互關係,說明實施各種不同活動的方式、將採用的檔案及將採用的控制方式;
程式檔案的範圍和詳細程度應取決於安全工作的複雜程度、所用的方法以及這項活動涉及人員所需的技能、素質和培訓程度;
程式檔案應簡練、明確和易懂,使其具有可操作性和可檢查性;
程式檔案應保持統一的結構與編排格式,便於檔案的理解與使用。
資訊保安管理體系的注意事項:
程式檔案要符合組織業務運作的實際,並具有可操作性;
可檢查性。實施資訊保安管理體系的一個重要標誌就是有效性的驗證。程式檔案主要體現可檢查性,必要時附相應的控制標準;
在正式編寫程式檔案之前,組織應根據標準的要求、風險評估的結果及組織的實際對程式檔案的數量及其控制要點進行策劃,確保每個程式之間要有必要的銜接,避免相同的內容在不同的程式之間有較大的重複;另外,在能夠實現安全控制的前提下,程式檔案數量和每個程式的篇幅越少越好;
程式檔案應得到本活動相關部門負責人同意和接受,必須經過審批,註明修訂情況和有效期。
資訊保安管理體系的定義:Information Security Management Systems是組織在整體或特定範圍內建立資訊保安方針和目標,以及完成這些目標所用方法的體系。它是直接管理活動的結果,表示成方針、原則、目標、方法、過程、核查表(Checklists)等要素的集合。
資訊保安管理體系的遵循原則:
程式檔案一般不涉及純技術性的細節,細節通常在工作指令或作業指導書中規定;
程式檔案是針對影響資訊保安的各項活動的目標和執行做出的規定,它應闡明影響資訊保安的管理人員、執行人員、驗證或評審人員的職責、權力和相互關係,說明實施各種不同活動的方式、將採用的檔案及將採用的控制方式;
程式檔案的範圍和詳細程度應取決於安全工作的複雜程度、所用的方法以及這項活動涉及人員所需的技能、素質和培訓程度;
程式檔案應簡練、明確和易懂,使其具有可操作性和可檢查性;
程式檔案應保持統一的結構與編排格式,便於檔案的理解與使用。
資訊保安管理體系的注意事項:
程式檔案要符合組織業務運作的實際,並具有可操作性;
可檢查性。實施資訊保安管理體系的一個重要標誌就是有效性的驗證。程式檔案主要體現可檢查性,必要時附相應的控制標準;
在正式編寫程式檔案之前,組織應根據標準的要求、風險評估的結果及組織的實際對程式檔案的數量及其控制要點進行策劃,確保每個程式之間要有必要的銜接,避免相同的內容在不同的程式之間有較大的重複;另外,在能夠實現安全控制的前提下,程式檔案數量和每個程式的篇幅越少越好;
程式檔案應得到本活動相關部門負責人同意和接受,必須經過審批,註明修訂情況和有效期。