如何建立信息安全管理体系(I***S)

信息是所有***赖以生存和发展的***有价值的资产之一，犹如维持生命所必须的血液。然而，在当今激烈竞争的商业环境下，作为***生命血液的信息总是受到多方面的威胁和风险。这些威胁可能来自内部，也可能来自外部，可能是无意的，也可能是恶意的。随着信息的储存、传输和检索新技术的不断涌现，许多***感到面对各种威胁防不胜防，犹如敞开了大门。

***的业务目标和信息安全要求紧密相关。实际上，任何***成功经营的能力在很大程度上取决于其有效地管理其信息安全风险的才干。因此，如何确保信息安全已是各种***改进其竞争能力的一个新的挑战任务。***建立一个基于iso/iec 27001:2005标准的信息安全管理体系(information security management system,以下简称i***s)，已成为时代的需要。

本文从简单分析iso/iec 27001:2005标准的要求入手，论述建立一个符合该标准要求的i***s。

1. 正确理解i***s的含义和要素

i***s创建人员只有正确地理解i***s的含义、要素和iso/iec 27001标准的要求之后，才有可能建立一个符合要求的完善的i***s。因此，本节先对i***s的含义和要素用通俗易懂的语言，做出解释。

(1) “体系”的含义

“信息安全管理体系”(information security management system)中的“体系”来自英文 “system”。“system”当然可翻译为“体系”，但通常的译文应是“系统”。同样，“management system” 当然可翻译为“管理体系”，但通常也翻译为“管理系统”。例如在计算机领域中，一个十分常见的术语“database management system”，被普遍公认地翻译为“数据库管理系统”(简称dbms)，而几乎没有人将其翻译为“数据库管理体系”。 很显然，如果把i***s翻译为“信息安全管理系统”，也未尝不可。
实际上，“体系”和“系统”的含义都一样：由若干个为实现共同目标而相互依赖、协调工作的部件（或组分）组成的统一体。这些组成“体系”或“系统”的部件也称“要素”(element)。组成“体系”或“系统”的这些要素相互依赖，缺一不可。否则“体系”或“系统”就会受***、瘫痪，而不能工作或运行。例如，计算机系统(computer system)是由相互依赖的硬件和软件组成。如果硬件或软件受***，该计算机系统就不能正常运行。
此外，“体系”或“系统”是可分级的，即有上级和下级之分。系统的上级称为上级系统。其下级称为子系统。

(2) i***s的含义

在iso/iec 27001标准中，已对i***s做出了明确的定义。通俗地说，***有一个总管理体系，i***s是这个总管理体系的一部分，或总管理体系的一个子体系。i***s的建立是以业务风险方法为基础，其目的是建立、实施、运行、监视、评审、保持和改进信息安全。
如果一个***有多个管理体系，例如包括i***s、qms(质量管理体系) 和ems(环境管理体系) 等，那么这些管理体系就组成该***的总管理体系，而每一个管理体系只是该***总管理体系中的一个组分，或一个子管理体系。各个子管理体系必须相互配合、协调一致地工作，才能实现该***的总目标。