根據ISO/IEC 27001:2005信息安全體系基本要求,結合組織現有的安全體系管理框架,我們對組織采用以過(guò)程為基礎的信息安全管理體系模式,從以下方面維護體系的正常運行:
1)明確客戶(hù)單位的信息安全需求、理解建立信息安全方針和目標的需求;
2)在管理組織的整體業(yè)務(wù)風(fēng)險中實(shí)施并運作控制;
3)監控并評審信息安全管理的績(jì)效及有效性;
4)在客觀(guān)測量基礎上持續改進(jìn)。
信息安全管理體系模型如下圖:
ISO27004 ISMM體系建設。安全是一個(gè)持續的過(guò)程,因此我們應該對它進(jìn)行管理。對于任何組織來(lái)說(shuō),采用信息安全管理系統(ISMS)保證信息的安全應當是組織的一個(gè)重要決策。ISMM的目的則是通過(guò)一種方法,來(lái)定義ISMS的執行目標、有效性和效果標準,以促進(jìn)對信息安全管理系統的管理,并追蹤和測量隨時(shí)間變化的系統進(jìn)展情況,同時(shí)提供一種定義工具,用來(lái)定義與其他公司、同一組織的其他部門(mén)或同一工業(yè)標準和信息技術(shù)安全的最佳實(shí)例之間相互比較的基準。