学习笔记-信息安全管理体系ISMS

ISO27000标准族中两个核心标准分别是27001信息安全管理体系要求、27002信息安全管理使用规则。

信息安全管理体系(ISMS):指在一个组织中，为了保护信息资产，而根据信息安全标准建立的一个管理系统。

ISMS允许组织以系统方式管理信息安全风险，包括保护机密信息，确保业务连续性，确保组织合规性。

4大要素：组织机构、程序、过程、资源

组织机构：人员的职责、权限和相互关系的安排。

合理设计组织机构，落实岗位责任制，明确技术、管理、支持服务工作与管理体系关系。

程序：为完成某项具体工作所需遵循的规定。

按顺序开展所承担活动的细节，包括应做的工作要求，即何事、何时、何处、何故、如何控制，并做好记录，即对人员、设备、材料、环境和信息等进行控制和记录。

过程：将输入转化为输出的一组彼此相关的资源和活动。

任何过程均有输入和输出，输入是实施过程的基础，输出是完成过程的结果。完成过程必须有资源和活动，为确保过程质量，对输入过程的信息、要求，输出的结果以及在过程中的适应阶段应进行必要的检查、评价、测量。

资源：根据自身特点和规模配备所需的资源。

包括人力资源、资产资源、工作环境等。