» 第三章  信息安全管理体系的构建与认证







                      第三章  信息安全管理体系的构建与认证




                          第一节  信息安全管理体系的发展历程及标准


                   一、信息安全管理体系的发展历程

                   （一）信息安全管理体系的基本信息

                   信息安全管理体系（Information Security Management System，简称为ISMS）
               是1998年前后从英国发展起来的信息安全领域中的一个新概念，是管理体系
               （Management System，MS）思想和方法在信息安全领域的应用。近年来，伴随着
               ISMS国际标准的制修订，ISMS迅速被全球接受和认可，成为世界各国、各种类型、

               各种规模的组织解决信息安全问题的一个有效方法。ISMS认证随之成为组织向社会
               及其相关方证明其信息安全水平和能力的一种有效途径。
                   信息安全管理体系是组织机构单位按照信息安全管理体系相关标准的要求，制定

               信息安全管理方针和策略，采用风险管理的方法进行信息安全管理计划、实施、评审
               检查、改进的信息安全管理执行的工作体系。信息安全管理体系是按照ISO/IEC27001
               标准《信息技术安全技术信息安全管理体系要求》的要求进行建立的，ISO/IEC27001
               标准是由BS7799-2标准发展而来。

                   信息安全管理体系ISMS是建立和维持信息安全管理体系的标准，标准要求组织
               通过确定信息安全管理体系范围、制定信息安全方针、明确管理职责、以风险评估为
               基础选择控制目标与控制方式等活动建立信息安全管理体系；体系一旦建立组织应按

               体系规定的要求进行运作，保持体系运作的有效性；信息安全管理体系应形成一定的
               文件，即组织应建立并保持一个文件化的信息安全管理体系，其中应阐述被保护的资
               产、组织风险管理的方法、控制目标及控制方式和需要的保证程度。
                   （二）信息安全管理体系的发展历程
                   信息安全管理体系（ISMS）是现代管理学在信息安全管理领域中的一个应用分

               枝。它的发展历史可以追溯到上个世纪初由于人类社会大规模工业生产所带来的对产
               品质量的自然诉求。
                   1.从产品质量管理到全面质量管理

                   从20世纪初开始，进入工业化阶段的人类社会大规模工业生产导致了对产品质量
               进行科学控制的迫切需求，并先后经历了1911年以F.W.Taylor为代表的“产品质量检


                                                                                          • 63 •