信息安全管理体系遵循的是什么流程

信息安全管理体系（Information Security Management System，ISMS）是一种组织范围内的管理体系，它的目标是确保信息安全的机密性、完整性和可用性。在实践中，遵循以下流程：

1. 制定信息安全政策：由高层管理层制定并公布一份信息安全政策。这份政策应该明确表述组织对信息安全的态度和承诺。

2. 进行风险评估：对组织内部的信息资产进行风险评估，确定各种威胁和漏洞，以及可能的影响和损失。

3. 制定信息安全计划：基于风险评估结果，制定并实施信息安全计划。这个计划应该包括控制措施、应急计划、培训计划等。

4. 实施控制措施：根据信息安全计划的要求，实施各项控制措施，包括技术控制和管理控制。

5. 监测与审计：对信息安全管理体系进行监测和审计，检查其有效性和符合性，发现问题并及时纠正。

6. 持续改进：不断优化和改进信息安全管理体系，逐步提高组织的信息安全水平。

以上是一个典型的ISMS流程，每个组织都可以根据自身特性进行调整和修改。此外，ISMS还需要遵循相关的国家和行业标准，如ISO 27001等。

建立完整的信息安全管理体系通常要经过计划、实施、检查、改进4个步骤。信息安全管理体系是组织在整体或特定范围内建立信息安全方针和目标，以及完成这些目标所用方法的体系。它是直接管理活动的结果，表示成方针、原则、目标、方法、过程、核查表等要素的集合。

信息安全管理体系是组织机构单位按照信息安全管理体系相关标准的要求，制定信息安全管理方针和策略，采用风险管理的方法进行信息安全管理计划、实施、评审检查、改进的信息安全管理执行的工作体系。

相关信息

信息安全管理体系ISMS是建立和维持信息安全管理体系的标准，标准要求组织通过确定信息安全管理体系范围、制定信息安全方针、明确管理职责、以风险评估为基础选择控制目标与控制方式等活动建立信息安全管理体系；体系一旦建立组织应按体系规定的要求进行运作。

保持体系运作的有效性；信息安全管理体系应形成一定的文件，即组织应建立并保持一个文件化的信息安全管理体系，其中应阐述被保护的资产、组织风险管理的方法、控制目标及控制方式和需要的保证程度。

为了消减信息和信息系统面临的众多风险，满足既定的信息安全需求，人们能想到的最直接做法，就是选择并使用各种能够解决信息安全问题的技术和产品。

与信息安全的发展历程一样，信息安全技术在不同的阶段也表现出不同的特点。在通信安全阶段，针对数据通信的保密性需求，人们对密码学理论和技术的研究及应用逐渐成熟了起来。随着计算机和网络技术的急遽发展，信息安全阶段的技术要求集中表现为ISO 7498-2 标准中陈述的各种安全机制上面，这些安全机制的共同特点就是对信息系统的保密性、完整性和可用性进行静态的防护。到了互联网遍布全球的时期，以IATF（信息保障技术框架）为代表的标准规范为我们勾画出了更全面更广泛的信息安全技术框架，这时的信息安全技术，已经不再是以单一的防护为主了，而是结合了防护、检测、响应和恢复这几个关键环节在一起的动态发展的完整体系。归纳起来，典型的信息安全技术包括：

1).物理安全技术：环境安全、设备安全、媒体安全；

2).系统安全技术： *** 作系统及数据库系统的安全性；

3).网络安全技术：网络隔离、访问控制、VPN、入侵检测、扫描评估；

4).应用安全技术：Email 安全、Web 访问安全、内容过滤、应用系统安全；

5).数据加密技术：硬件和软件加密，实现身份认证和数据信息的CIA 特性；

6).认证授权技术：口令认证、SSO 认证（例如Kerberos）、证书认证等；

7).访问控制技术：防火墙、访问控制列表等；

8).审计跟踪技术：入侵检测、日志审计、辨析取证；

9).防病毒技术：单机防病毒技术逐渐发展成整体防病毒体系；

10).灾难恢复和备份技术：业务连续性技术，前提就是对数据的备份。

解决信息及信息系统的安全问题不能只局限于技术，更重要的还在于管理。安全技术只是信息安全控制的手段，要让安全技术发挥应有的作用，必然要有适当的管理程序的支持，否则，安全技术只能趋于僵化和失败。如果说安全技术是信息安全的构筑材料，那信息安全管理就是真正的粘合剂和催化剂，只有将有效的安全管理从始至终贯彻落实于安全建设的方方面面，信息安全的长期性和稳定性才能有所保证。

现实世界里大多数安全事件的发生和安全隐患的存在，与其说是技术上的原因，不如说是管理不善造成的，理解并重视管理对于信息安全的关键作用，对于真正实现信息安全目标来说尤其重要。我们常说，信息安全是三分技术七分管理，可见管理对于信息安全的重要性。

从概念上讲，信息安全管理（Information Security Management）作为组织完整的管理体系中一个重要的环节，构成了信息安全具有能动性的部分，是指导和控制组织的关于信息安全风险的相互协调的活动，其针对对象就是组织的信息资产。

安全管理牵涉到组织的信息评估、开发和文档化，以及对实现保密性、完整性和可用性目标的策略、标准、程序及指南的实施。安全管理要求识别威胁、分类资产，并依据脆弱性分级来有效实施安全控制。

同其他管理问题一样，安全管理也要解决组织、制度和人员这三方面的问题，具体来说就是：建设信息安全管理的组织机构并明确责任，建立健全的安全管理制度体系，加强人员的安全意识并进行安全培训和教育，只有这样，信息安全管理才能实现包括安全规划、风险管理、应急计划、意识培训、安全评估、安全认证等多方面的内容。

应该注意的是，人们对信息安全管理的认识是在信息安全技术之后才逐渐深入和发展起来的，关于信息安全管理的标准和规范也没有安全技术那么众多，最有代表性的，就是BS 7799 和ISO 13335。

---