新政解读

北京信息安全管理体系持续改进,使信息安全绩效螺

发布日期:2022-10-29 浏览次数:


信息安全管理体系持续改进,使信息安全绩效螺

    是组织机构单位按照信息安全管理体系相关标准的要求,制定信息安全管理方针和策略,采用风险管理的方法进行信息安全管理计划、实施、评审检查、改进的信息安全管理执行的工作体系。

    IS0国际标准化组织对于信息安全给出了精确的定义,信息安全是数据处理系统建立和采用的技术和管理安全保护,保护计算机硬件、软件和数据不因偶然和恶意的原因遭到破坏,更改和泄露。

    信息安全的定义清晰地回答了我们所关心的信息安全的主要问题,包括三方面含义:

1、信息安全的保护对象

    信息安全保护对象是信息资产,信息资产包括数据、软件、硬件、服务、文档、设备、人员等。

2、信息安全的目标

    信息安全的目标就是保证信息资产的三个基本安全属性,即:保密性、完整性、可用性。信息资产被泄露意味着保密性受到影响,被更改意味着完整性受到影响,被破坏意味着可用性受到影响。

3、实现信息安全目标的途径

    实现信息安全目标的途径借助两个方面的措施,技术措施和管理措施。技术、管理并重,重技术轻管理,或者重管理轻技术,都不够科学且有一定的局限性。

    信息安全管理体系是按照IS0/IEC27001标准《信息技术安全技术信息安全管理体系要求》的要求进行建立的,ISO/IEC27001标准是由BS7799-2标准发展而来。运用PDCA的过程模式的实施:策划-实施-检查-措施四个步骤成为一个闭环,通过这个环的不断运转,使信息安全管理体系得到持续改进,使信息安全绩效(performance)螺旋上升。


信息安全管理体系持续改进,使信息安全绩效螺