1、背景介紹

信息作為組織的重要資產(chǎn)，需要得到妥善保護(hù)。但隨著信息技術(shù)的高速發(fā)展，特別是Internet的問世及網(wǎng)上交易的啟用，許多信息安全的問題也紛紛出現(xiàn)：系統(tǒng)癱瘓、黑客入侵、病毒感染、網(wǎng)頁改寫、客戶資料的流失及公司內(nèi)部資料的泄露等等，這些已給組織的經(jīng)營管理、生存甚至國家安全都帶來嚴(yán)重的影響。所以，在運(yùn)用現(xiàn)代信息系統(tǒng)帶來的快捷、方便的同時(shí)，如何充分防范信息的損壞和泄露，已成為當(dāng)前組織迫切需要解決的問題。

俗話說“三分技術(shù)七分管理”。目前組織普遍采用現(xiàn)代通信、計(jì)算機(jī)、網(wǎng)絡(luò)技術(shù)來構(gòu)建組織的信息系統(tǒng)。但大多數(shù)組織的******管理層對信息資產(chǎn)所面臨的威脅的嚴(yán)重性認(rèn)識(shí)不足，缺乏明確的信息安全管理方針和完整的信息安全管理制度，如系統(tǒng)的運(yùn)行、維護(hù)、開發(fā)等崗位不清、職責(zé)不分、存在一人身兼數(shù)職的現(xiàn)象，這些都是造成信息安全事件的重要原因；同時(shí)，缺乏系統(tǒng)的管理思想也是一個(gè)重要的問題。所以，我們需要一個(gè)系統(tǒng)的、整體規(guī)劃的信息安全管理體系，從預(yù)防控制的角度出發(fā)，以確保組織的信息系統(tǒng)和業(yè)務(wù)數(shù)據(jù)的安全性。

2、認(rèn)證價(jià)值

?  有一套“量體裁衣”的信息安全管理控制措施和保護(hù)信息資產(chǎn)的制度框架。

?  形成了高層管理人員與技術(shù)負(fù)責(zé)人進(jìn)行信息安全溝通的共同語言。

?  使組織將IT策略和組織發(fā)展方向統(tǒng)一起來，確保與IT相關(guān)的風(fēng)險(xiǎn)受到適當(dāng)?shù)目刂啤?

?  通過方針、慣例、程序、組織結(jié)構(gòu)和軟件功能來確定控制方式并實(shí)施控制，持續(xù)提高組織信息安全管理水平。

?  降低信息安全對持續(xù)發(fā)展造成的風(fēng)險(xiǎn)，利用信息技術(shù)為組織創(chuàng)造新的戰(zhàn)略競爭機(jī)遇。

?  根據(jù)控制費(fèi)用與風(fēng)險(xiǎn)平衡的原則合理選擇安全控制方式。

?  使信息風(fēng)險(xiǎn)的發(fā)生概率和結(jié)果降低到可接受水平，保持組織業(yè)務(wù)運(yùn)作的持續(xù)性。

3、適用范圍

信息安全管理體系適用于所有類型的組織（例如：商業(yè)組織、政府機(jī)構(gòu)、非盈利組織），例如：銀行、證券、保險(xiǎn)等金融機(jī)構(gòu)；交通、能源等大型國有組織；互聯(lián)網(wǎng)數(shù)據(jù)中心（IDC）服務(wù)提供商；軟件和信息技術(shù)服務(wù)組織；公共管理、社會(huì)保障和社會(huì)組織等。