1. 正确理解ISMS的含义和要素
ISMS创建人员只有正确地理解ISMS的含义、要素和ISO/IEC 27001标准的要求之后,才有可能建立一个符合要求的完善的ISMS。因此,本节先对ISMS的含义和要素用通俗易懂的语言,做出解释。
(1) “体系”的含义
“信息安全管理体系”(Information Security Management System)中的“体系”来自英文 “System”。“System”当然可翻译为“体系”,但通常的译文应是“系统”。同样,“Management System” 当然可翻译为“管理体系”,但通常也翻译为“管理系统”。例如在计算机领域中,一个十分常见的术语“Database Management System”,被普遍公认地翻译为“数据库管理系统”(简称DBMS),而几乎没有人将其翻译为“数据库管理体系”。 很显然,如果把ISMS翻译为“信息安全管理系统”,也未尝不可。
实际上,“体系”和“系统”的含义都一样:由若干个为实现共同目标而相互依赖、协调工作的部件(或组分)组成的统一体。这些组成“体系”或“系统”的部件也称“要素”(Element)。组成“体系”或“系统”的这些要素相互依赖,缺一不可。否则“体系”或“系统”就会受破坏、瘫痪,而不能工作或运行。例如,计算机系统(Computer System)是由相互依赖的硬件和软件组成。如果硬件或软件受破坏,该计算机系统就不能正常运行。
此外,“体系”或“系统”是可分级的,即有上级和下级之分。系统的上级称为上级系统。其下级称为子系统。
(2) ISMS的含义
在ISO/IEC 27001标准中,已对ISMS做出了明确的定义。通俗地说,组织有一个总管理体系,ISMS是这个总管理体系的一部分,或总管理体系的一个子体系。ISMS的建立是以业务风险方法为基础,其目的是建立、实施、运行、监视、评审、保持和改进信息安全。
如果一个组织有多个管理体系,例如包括ISMS、QMS(质量管理体系) 和EMS(环境管理体系) 等,那么这些管理体系就组成该组织的总管理体系,而每一个管理体系只是该组织总管理体系中的一个组分,或一个子管理体系。各个子管理体系必须相互配合、协调一致地工作,才能实现该组织的总目标。
(3) ISMS的要素
标准还指出,管理体系包括“组织的结构、方针、规划活动、职责、实践、程序、过程和资源”(见ISO/IEC 27001:2005 3.7)。这些就是构成管理体系的相互依赖、协调一致,缺一不可的组分或要素。我们将其归纳后,ISMS的要素要包括:
1) 信息安全管理机构
通过信息安全管理机构,可建立各级安全组织、确定相关人员职责、策划信息安全活动和实践等。
2) ISMS文件
包括ISMS方针、过程、程序和其它必须的文件等。
3) 资源
包括建立与实施ISMS所需要的合格人员、足够的资金和必要的设备等。
ISMS的建立要确保这些ISMS要素得到满足。
