» 第三章  信息安全管理体系的构建与认证



                   二是可以增进组织间电子商务往来的信用度，能够建立起网站和贸易伙伴之间的
               互相信任，为广大用户和服务提供商提供一个基础的设备管理。同时，把组织的干扰
               因素降到最小，创造更大收益。
                   三是通过认证能保证和证明组织所有的部门对信息安全的承诺。

                   四是通过认证可改善全体的业绩、消除不信任感。
                   五是获得国际认可的机构的认证证书，可得到国际上的承认，拓展业务。
                   六是建立信息安全管理体系能降低这种风险，通过第三方的认证能增强投资者及
               其他利益相关方的投资信心。


                   二、信息安全管理体系构建的步骤

                   信息安全管理体系是一个系统化、程序化和文件化的管理体系，属于风险管理
               的范畴，体系的建立需要基于系统、全面和科学的风险评估。ISMS体现预防为主的

               思想，强调遵守国家有关信息安全的法律法规，强调全过程和动态控制，本着控制成
               本与风险平衡的原则，合理选择安全控制方式保护组织所拥有的关键信息、资产，
               确保信息的保密性、完整性和可用性，从而保持组织的竞争优势和业务运作的持续
               性。构建信息安全管理体系不是一蹴而就的，欲速则不达，每家组织都是不同的，

               不同的组织在建立与完善信息安全管理体系时，可根据自己的特点和具体情况，采
               取不同的步骤和方法。但总体来说，建立信息安全管理体系一般要经过以下几个主要
               步骤。
                   （一）信息安全管理体系策划和准备

                   策划和准备阶段主要是做好建立信息安全管理体系的各种前期工作。内容包括教
               育培训、拟定计划、安全管理发展情况调研以及相关资源的配置与管理。
                   （二）确定信息安全管理体系适用的范围

                   信息安全管理体系的范围就是需要重点进行管理的安全领域。组织需要根据自己
               的实际情况，可以在整个组织范围内、也可以在个别重要部门或领域内实施。在本阶
               段的工作，应将组织划分成不同的信息安全控制领域，这样做易于组织对有不同需求
               的领域进行适当的信息安全管理。在定义适用范围时，应重点考虑组织的适用环境、

               适用人员、现有信息系统、现有信息资产及它们之间相互关系等。
                   （三）现状调查与风险评估
                   依据有关信息安全技术与管理标准，对信息系统及由其生成、处理、传输和存储
               的信息的机密性、完整性和可用性等安全属性进行调研和评价以及评估信息资产面临

               的威胁以及导致安全事件发生的可能性，并结合安全事件所涉及的信息资产价值来判
               断安全事件一旦发生对组织造成的影响。


                                                                                          • 69 •