信息安全管理系统是98年左右从英国发展起来的信息安全领域中的一个新概念,是管理体系思想和方法在信息安全领域的应用。信息安全管理系统是组织机构单位按照信息安全管理体系相关标准的要求,制定信息安全管理方针和策略,采用风险管理的方法进行信息安全管理计划、实施、评审检查、改进的信息安全管理执行的工作体系。
信息安全管理体系是建立和维持信息安全管理体系的标准,标准要求组织通过确定信息安全管理体系范围、制定信息安全方针、明确管理职责、以风险评估为基础选择控制目标与控制方式等活动建立信息安全管理系统;体系一旦建立组织应按体系规定的要求进行运作,保持体系运作的有效性;信息安全管理系统应形成一定的文件,即组织应建立并保持一个文件化的信息安全管理体系,其中应阐述被保护的资产、组织风险管理的方法、控制目标及控制方式和需要的保证程度。
