組織建立信息安全管理體系的一般過程是什么？

我國信息安全管理的現(xiàn)狀、問題及其對策摘要：信息安全是國家安全的基礎(chǔ)和關(guān)鍵。在信息安全保障的三大要素(人員、技術(shù)、管理)中，管理要素的地位和作用越來越受到重視。理解并重視管理對信息安全的關(guān)鍵作用，對于真正實現(xiàn)信息安全目標(biāo)來說尤其重要。本文分析了信息安全管理的現(xiàn)狀，并著重討論了加強信息安全管理的策略。關(guān)鍵詞：信息安全；管理；現(xiàn)狀；策略信息安全管理是隨著信息和信息安金的發(fā)展而發(fā)展的。在信息社會中，一方面信息已經(jīng)成為人類的重要資產(chǎn)，在政治、經(jīng)濟、軍事、教育、科技、生活等方面發(fā)揮著重要作用，另一方面由于計算機技術(shù)的迅猛發(fā)展而帶來的信息安全問題正變得日益突出。由于信息具有易傳播、易擴散、易損毀的特點，信息資產(chǎn)比傳統(tǒng)的實物資產(chǎn)更加脆弱，更容易受到損害，這樣將使組織在業(yè)務(wù)運作過程巾面臨巨大的風(fēng)險。這種風(fēng)險主要來源于組織管理、信息系統(tǒng)、信息基礎(chǔ)設(shè)施等方面的固有薄弱環(huán)節(jié)和漏洞， 以及大量存在于組織內(nèi)外的各種威脅， 因此對信啟、系統(tǒng)需要加以嚴(yán)格管理和妥善保護，信息安全管理也隨之產(chǎn)生。
1、國內(nèi)信息安全管理現(xiàn)狀1．1在國家宏觀信息安全管理方面的問題(1)法律法規(guī)問題。健全的信息安 法律法規(guī)體系是確保國家信息安全的基礎(chǔ)，是信息安全的第一道防線。我國已建立了法律、行政法規(guī)與部門規(guī)章及規(guī)范性文件等三個層面的有關(guān)信息安全的法律法規(guī)體系，對組織與個人的信息安全行為提出了安全要求。但是我國的法律法規(guī)體系還存在缺陷，一是現(xiàn)有的法律法規(guī)存在不完善的地方，如法律法規(guī)之間有內(nèi)容重復(fù)交叉， 同一行為有多個行政處罰主體，有的規(guī)章與行政法規(guī)相互抵觸，處罰幅度不?一致；二是法律法規(guī)建設(shè)跟不上信息技術(shù)發(fā)展的需要，這主要涉及網(wǎng)絡(luò)規(guī)劃與建設(shè)、網(wǎng)絡(luò)管理與經(jīng)營、網(wǎng)絡(luò)安全、數(shù)據(jù)的法律保護、電子資金劃轉(zhuǎn)的法律認(rèn)證、計算機犯罪、刑事立法、計算機證據(jù)的法律效力等方面的法律法規(guī)缺乏。(2)管理問題。管理包括三個層次的內(nèi)容：組織建設(shè)、制度建設(shè)和人員意識。組織建設(shè)是指有關(guān)信息安全管理機構(gòu)的建設(shè)。信息安全的管理包括安全規(guī)劃、風(fēng)險管理、應(yīng)急計劃、安全教育培訓(xùn)、安全系統(tǒng)的評估、安全認(rèn)證等多方面的內(nèi)容，因此只靠一個機構(gòu)是無法解決這些問題的。在各信息安全管理機構(gòu)之問，要有明確的分工，以避免“政出多門”和“政策拉車”現(xiàn)象的發(fā)生。需要建立切實可行的規(guī)章制度，即進行制度建設(shè)，以保證信息安全。如對人的管理，需要解決多人負責(zé)、責(zé)仔到人的問題，任期有限的問題，職責(zé)分離的問題，最小權(quán)限的問題等。有了組織機構(gòu)和相應(yīng)的制度，還需要領(lǐng)導(dǎo)的高度重視和群防群治，即強化人員的安全意識，這需要信息安全意識的教育和培訓(xùn)，以及對信息安傘問題的高度重視。(3)國家信息基礎(chǔ)設(shè)施建設(shè)問題。目前構(gòu)成我國信息基礎(chǔ)設(shè)施的網(wǎng)絡(luò)、硬件、軟件等產(chǎn)品幾乎完全是建立在外國的核心信息技術(shù)之上的。關(guān)于國家信息基礎(chǔ)設(shè)施方面存在的問題已引起國家的高度重視。如“十五”期問，國家863計劃和科技攻關(guān)的重要項目就有“信息安全與電子政務(wù)”和“金融信息化”兩個有關(guān)信息安全的研究項目；2002年1月1日開始實施的《電信業(yè)務(wù)經(jīng)營許可證管理辦法》明確要求：電信產(chǎn)品軟件商不能在軟件上預(yù)留“后門”，外國供貨商不能遠程登錄中國電信商的操作系統(tǒng)，高級 管系統(tǒng)要用國內(nèi)可靠機構(gòu)開發(fā)的軟件產(chǎn)品。1．2我國在微觀信息安全管理方面存在的問題主要表現(xiàn)(1)缺乏信息安全意識與明確的信息安全方針。大多數(shù)組織的最高管理層對信息資產(chǎn)所面臨威脅的嚴(yán)重性認(rèn)識不足，或者僅局限于IT方面的安全，沒有形成一個合理的信息安拿方針來指導(dǎo)組織的信息安全管理工作，這表現(xiàn)為缺乏完整的信息安全管理制度，缺乏對員工進行必要的安全法律法規(guī)和防范安全風(fēng)險的教育與培訓(xùn)，現(xiàn)有的安全規(guī)章組織未必能嚴(yán)格實施等。(2)重視安全技術(shù)，輕視安全管理。目前組織普遍采用現(xiàn)代通信、計算機和網(wǎng)絡(luò)技術(shù)來構(gòu)建信息系統(tǒng)，以提高組織效礙暑與競爭能力，但相應(yīng)的管理措施不到位，如系統(tǒng)的運行、維護和開發(fā)等崗位不清，職責(zé)不分，存在一人身兼數(shù)職現(xiàn)象。(3)安全管理缺乏系統(tǒng)管理的思想。大多數(shù)組織現(xiàn)有的安全管理模式仍是傳統(tǒng)的管理方法，出現(xiàn)了問題才去想補救的辦法，是一種就事論事、靜態(tài)的管理，不是建立在安全風(fēng)險評估基礎(chǔ)上的動態(tài)的持續(xù)改進管理方法。
2、國外信息安全管理現(xiàn)狀國際上信息安全管理近幾年的發(fā)展主要包括以下幾個方面。(1)制訂信息安全發(fā)展戰(zhàn)略和計劃。制訂發(fā)展戰(zhàn)略和計劃是發(fā)達國家一貫的作法。美、俄、日國家都已經(jīng)或正在制訂自己的信息安全發(fā)展戰(zhàn)略和發(fā)展計劃，確保信息安全沿著正確的方向發(fā)展。(2)加強信息安全立法，實現(xiàn)統(tǒng)一和規(guī)范管理。以法律的形式規(guī)定和規(guī)范信息安全工作是有效實施安全措施的最有力保證。制訂網(wǎng)絡(luò)信息安全規(guī)則的先鋒是各大門戶網(wǎng)站，美國的雅虎和美國在線等網(wǎng)站都在實踐中形成了一套自己的信息安全管理辦法。2000年1O月5日美參議院通過了《互聯(lián)網(wǎng)網(wǎng)絡(luò)完備性及關(guān)鍵設(shè)備保護法案》。2000年9月，俄羅斯實施了關(guān)于網(wǎng)絡(luò)信息安全的法律。(3)步入標(biāo)準(zhǔn)化與系統(tǒng)化管理時代。隨著2O世紀(jì)8O年代IS09000質(zhì)量管理標(biāo)準(zhǔn)的出現(xiàn)及隨后在全世界的推廣應(yīng)用，系統(tǒng)管理的思想在其他管理領(lǐng)域也被借鑒與采用，信息安全管理也同樣在2O世紀(jì)9O年代步入了標(biāo)準(zhǔn)化與系統(tǒng)化管理的時代。1995年英國率先推出了BS7799信息安全管理標(biāo)準(zhǔn)，該標(biāo)準(zhǔn)于2000年被國際標(biāo)準(zhǔn)化組織認(rèn)可為國際標(biāo)準(zhǔn)ISO／IEC17799?，F(xiàn)在該標(biāo)準(zhǔn)已引起許多國家與地區(qū)的重視，在一些國家已經(jīng)被推廣與應(yīng)用；組織貫徹實施該標(biāo)準(zhǔn)可以對信息安全風(fēng)險進行全面系統(tǒng)的管理，從而實現(xiàn)組織信息安全。與此同時，其他國家以及組織也提出了很多與信息安全管理相關(guān)的標(biāo)準(zhǔn)。
3、加強信息安全管理的策略隨著國民經(jīng)濟和社會信息化進程的全面加快，信息安全管理工作面臨著越來越嚴(yán)峻的形勢和挑戰(zhàn)。從總體上看，當(dāng)前，我國的信息安全管理工作尚處于起步階段，基礎(chǔ)薄弱，水平不高，存在許多亟待解決的問題，我們要以全局性的眼光，加強信息安全的組織管理工作。(1)建立集中統(tǒng)
一、分工協(xié)作、各司其職的信息安全管理機制。信息安傘保障的關(guān)鍵在于組織領(lǐng)導(dǎo)，要從根本上加強我國的信息安全保障工作，必須建立全國集中統(tǒng)
一、分工協(xié)作、各司其職的信息安全管理機制。一是國家應(yīng)建立能夠協(xié)調(diào)維護各種安全利益的綜合職能機構(gòu)，成立有高度權(quán)威的國家信息安全委員會，作為國務(wù)院信息化領(lǐng)導(dǎo)小組的常設(shè)委員會， 以改變目前在維護國家信息安全中各部門條塊分割、職責(zé)不清、多頭管理、協(xié)調(diào)不力和政出多門的現(xiàn)狀；二是各個職能部門要形成一個分工明確、責(zé)任落實、相互銜接、有機配合的組織管理體系，按照“誰主管、誰負責(zé)”的原則，共同履行信息安全管理的職責(zé)；三是盡早建立省、市兩級比較完善的信息安全領(lǐng)導(dǎo)管理體系， 以便積極調(diào)動各種資源主動配合和協(xié)調(diào)信息安全保障工作，形成縱橫結(jié)合的信息安全協(xié)調(diào)與信息共享機制； 四是充分調(diào)動政府、企業(yè)和個人的積極性，實現(xiàn)有機聯(lián)動，形成合力，共同構(gòu)筑國家信息安全保障體系；五是健全和完善信息安全責(zé)任體系，要求各部門、各單位明確信息安全工作負責(zé)人，配備相應(yīng)的信息安全員，把信息安全責(zé)任真正落實到人。(2)加強信息安全法制建設(shè)，為信息安全管理提供執(zhí)法依據(jù)。作為信息安全保障體系的重要部分，相關(guān)法律法規(guī)和標(biāo)準(zhǔn)體系的建設(shè)已經(jīng)勢在必行。下一步，應(yīng)著力建立健全信息安全法律法規(guī)體系；同時，要注重和加強信息安全執(zhí)法隊伍的建設(shè)；各信息安全職能部門的執(zhí)法活動必須嚴(yán)格按照法律規(guī)定的權(quán)限和程序進行，正確行使權(quán)力和履行職責(zé)，保護企業(yè)和公民的合法權(quán)益，打擊網(wǎng)絡(luò)違法犯罪；各有關(guān)主管部門和運營單位要積極支持執(zhí)法機關(guān)工作，履行應(yīng)盡的義務(wù)；社會團體、企業(yè)和個人要認(rèn)真履行法律規(guī)定的信息安全責(zé)任和義務(wù)，在信息網(wǎng)絡(luò)環(huán)境中依法開展活動。(3)采取有效措施，積極推進信息安全等級保護工作的順利開展。實行信息安全等級保護是國家解決信息安全保護問題的基本政策。信息安全等級保護是信息系統(tǒng)的社會價值和經(jīng)濟價值保護的客觀要求，即按信息的敏感和重要程度、系統(tǒng)應(yīng)用性質(zhì)和資嚴(yán)價值、部門重要程度，分級采取科學(xué)、合理的保護措施；對于涉及國計民生的國家關(guān)鍵信息基礎(chǔ)設(shè)施應(yīng)分級加以重點保護；適度保護，效費合理，避免盲目和浪費。國家實行信息安全等級保護，必須從總體戰(zhàn)略角度考慮，把握關(guān)鍵環(huán)節(jié)，建立長效保護機制。當(dāng)前，信息安全等級保護的試點工作已積累了一定的經(jīng)驗，為推動信息安全等級保護工作的傘面開展，應(yīng)著力做好以下幾個方面的工作：明確信息系統(tǒng)等級保護各方責(zé)任；制定各項信息安全等級保護管理制度；制定、完善信息安全等級保護管理規(guī)范和技術(shù)標(biāo)準(zhǔn)體系；依托社會技術(shù)力量，組建技術(shù)支撐體系；研制開發(fā)信息安全等級保護備案、檢測、評估信息系統(tǒng)和技術(shù)工具；加強宣傳、培訓(xùn)工作等等。(4)努力探索，創(chuàng)立新形勢下的信息網(wǎng)絡(luò)違法犯罪防范打擊體系。近年來，我國在打擊網(wǎng)絡(luò)違法犯罪方面做了大量的工作，也取得了很火的成績，但是隨著信息技術(shù)的不斷發(fā)展，網(wǎng)絡(luò)違法犯罪的形式更加多樣化，技術(shù)手段更加先進，這就要求我們不斷建立健全信息網(wǎng)絡(luò)違法犯罪防范打擊體系， 以執(zhí)法職能部門為主體，動員社會各方力量，運用網(wǎng)絡(luò)技術(shù)手段在信息網(wǎng)絡(luò)領(lǐng)域建立系統(tǒng)、完整、有機銜接的預(yù)防、控制、偵查、懲處信息網(wǎng)絡(luò)違法犯罪的行政執(zhí)法和刑事執(zhí)法體系，提高對信息網(wǎng)絡(luò)違法犯罪的防范、控制和偵查、打擊能力。重點要做好以下四方面機制建設(shè)：一是全社會防范控制機制。二是統(tǒng)一指揮、快速反應(yīng)的偵查機制。三是有關(guān)部門、單位的支持、配合機制。四是公檢法三機關(guān)的協(xié)調(diào)、協(xié)作機制。答案補充(5)政策面上采取各種措施，創(chuàng)造良好的信息安全發(fā)展環(huán)境。一是加大對信息安全工作的資金投入。在政府層面，財政應(yīng)拿出專門的資金，用于機關(guān)及相關(guān)事業(yè)單位、公益性等信息網(wǎng)絡(luò)的安全建設(shè)及維護；在企業(yè)層面，在必須明確建設(shè)網(wǎng)絡(luò)的真正需求，加強安全資金投入，針對自身的網(wǎng)絡(luò)建立安全防御體系；另外，科研管理部門應(yīng)當(dāng)加大對信息安全技術(shù)研究的科研投入，對若干前瞻性、基礎(chǔ)性的信息安全核心技術(shù)，統(tǒng)一部署，組織攻關(guān)，力爭有所突破。二是加快信息安全人才培養(yǎng)。要從信息安全建設(shè)和管理對信息安全人才的實際需求出發(fā)，加強信息安全學(xué)科、專業(yè)和培訓(xùn)機構(gòu)建設(shè)，加快信息安全人才培養(yǎng)。要采取積極措施，吸引并用好高素質(zhì)的信息安全管理和技術(shù)人才，最大限度的發(fā)揮人才效益。三是要大力支持信息網(wǎng)絡(luò)安全服務(wù)行業(yè)的發(fā)展。建議出臺支持信息安全服務(wù)行業(yè)發(fā)展的相關(guān)政策，加強對信息安全服務(wù)行業(yè)的監(jiān)管，積極引導(dǎo)信息網(wǎng)絡(luò)使用單位借助信息安全服務(wù)單位提高其安全管理水平和能力。答案補充四是要增強全民信息安全意識。要充分利用新聞媒體和互聯(lián)網(wǎng)，加大信息安全宣傳力度，增強全民信息安全意識。要開展全社會特別是對青少年的信息安全教育和法律法規(guī)教育，使其掌握必要的信息安全知識與技能。
4、結(jié)語信息安全管理是保護國家、組織、個人等各個層面上信息安全的重要基礎(chǔ)。只有以有效的信息安全管理體系為基礎(chǔ)，完善信息安全管理結(jié)構(gòu)，綜合應(yīng)用信息安全管理策略和信息安全技術(shù)產(chǎn)品，才可能建立起一個真正意義上的信息安全防護體系。參考文獻：[1]劉文艷．社會信息化環(huán)境下的信息安全管理研究[J]．網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2007，3．[2]李振汕．現(xiàn)代電子商務(wù)系統(tǒng)安全技術(shù)研究[J]．中國管理信息化，2007，10．[3]張紅旗等．信息安全管理[M]．北京：人民郵電出版社，2007，11．

組織建立、實施與保持信息安全管理體系產(chǎn)生的作用？

1、強化員工的信息安全意識，規(guī)范組織信息安全行為；
2、對組織的關(guān)鍵信息資產(chǎn)進行全面系統(tǒng)的保護，維持競爭優(yōu)勢；3 、在信息系統(tǒng)受到侵襲時，確保業(yè)務(wù)持續(xù)開展并將損失降到最低程度；
4、使組織的生意伙伴和客戶對組織充滿信心；
5、如果通過體系認(rèn)證咨詢，表明體系符合標(biāo)準(zhǔn)，證明組織有能力保障重要信息，提高組織的知名度與信任
6、促使管理層堅持貫徹信息安全保障體系。

怎么建立ISMS信息安全管理體系ISO27001的實施流程？

在全球聚焦信息安全的背景下SGS建議企業(yè)通過如下采取措施以改版為契機提升企業(yè)信息安全管理。
1、企業(yè)管理者代表或其他負責(zé)人積極參加新版標(biāo)準(zhǔn)解讀或相關(guān)研討會了解標(biāo)準(zhǔn)改版內(nèi)容用于領(lǐng)導(dǎo)和策劃改版工作企業(yè)內(nèi)部審核員、風(fēng)險評估小組成員參加專業(yè)技術(shù)培訓(xùn)了解改版方向。
2、在企業(yè)人員了解標(biāo)準(zhǔn)改版方向及要點后應(yīng)該內(nèi)部進行風(fēng)險管理檢查評估原有風(fēng)險管理程序和風(fēng)險評估過程記錄修訂程序進行風(fēng)險再評估從原來的信息資產(chǎn)關(guān)注轉(zhuǎn)換為業(yè)務(wù)風(fēng)險和相關(guān)方影響關(guān)注。
3、進行體系iso三體系認(rèn)證升級根據(jù)新標(biāo)準(zhǔn)要，.求并結(jié)合風(fēng)險再評估結(jié)果主要對手冊、SoA、制度和表格進行修訂并重點關(guān)注職責(zé)權(quán)限、信息安全管理目標(biāo)、利益相關(guān)方的信息安全需求收集、供應(yīng)鏈信息安全風(fēng)險的考慮:。
4、對體系運行評審經(jīng)過修訂體系在運行一段時間后組織利用信息安 有效性測量、內(nèi)部審核、管理評審等評審工具對體系的運行進行評審為迎接新版的外部評審做準(zhǔn)備。

在全球聚焦信息安全的背景下SGS建議企業(yè)通過如下采取措施以改版為契機提升企業(yè)信息安全管理。
1、企業(yè)管理者代表或其他負責(zé)人積極參加新版標(biāo)準(zhǔn)解讀或相關(guān)研討會了解標(biāo)準(zhǔn)改版內(nèi)容用于領(lǐng)導(dǎo)和策劃改版工作企業(yè)內(nèi)部審核員、風(fēng)險評估小組成員參加專業(yè)技術(shù)培訓(xùn)了解改版方向。
2、在企業(yè)人員了解標(biāo)準(zhǔn)改版方向及要點后應(yīng)該內(nèi)部進行風(fēng)險管理檢查評估原有風(fēng)險管理程序和風(fēng)險評估過程記錄修訂程序進行風(fēng)險再評估從原來的信息資產(chǎn)關(guān)注轉(zhuǎn)換為業(yè)務(wù)風(fēng)險和相關(guān)方影響關(guān)注。
3、進行體系iso三體系認(rèn)證升級根據(jù)新標(biāo)準(zhǔn)要，.求并結(jié)合風(fēng)險再評估結(jié)果主要對手冊、SoA、制度和表格進行修訂并重點關(guān)注職責(zé)權(quán)限、信息安全管理目標(biāo)、利益相關(guān)方的信息安全需求收集、供應(yīng)鏈信息安全風(fēng)險的考慮:。
4、對體系運行評審經(jīng)過修訂體系在運行一段時間后組織利用信息安 有效性測量、內(nèi)部審核、管理評 審等評審工具對體系的運行進行評審為迎接新版的外部評審做準(zhǔn)備。

搜一下：怎么建立ISMS信息安全管理體系？ISO27001的實施流程

建立和實施信息安全管理體系的重要原則是？

三分技術(shù)七分管理注重整體安全首先應(yīng)先實現(xiàn)整體的架構(gòu)、流程，而后才是具體的措施，實現(xiàn)一個PDCA的閉環(huán)流程是最重要的，這個實現(xiàn)不了，再好的安全iso三體系認(rèn)證、技術(shù)、人員都沒用。

組織建立和實施質(zhì)量管理體系體系的方法？

質(zhì)量管理體系有一套完整的推進方法，基本思路是策劃、培訓(xùn)、編制iso三體系認(rèn)證、執(zhí)行iso三體系認(rèn)證、檢查iso三體系認(rèn)證和執(zhí)行，改正，持續(xù)改進。和質(zhì)量PDCA一個思路的。

應(yīng)該過程方法和系統(tǒng)方法相結(jié)合。

簡捷的方法有兩種：一是找咨詢公司，他們會幫你策劃實施全過程的，但你自己也要用心去學(xué)習(xí)的；二是去那些所謂的內(nèi)審員培訓(xùn)班學(xué)習(xí)下，會有點滴收獲。個人認(rèn)為還是第一種方法來得快，含金量的話還是要自己多下功夫了。