信息安全管理体系的定义:Information Security Management Systems是组织在整体或特定范围内建立信息安全方针和目标,以及完成这些目标所用方法的体系。它是直接管理活动的结果,表示成方针、原则、目标、方法、过程、核查表(Checklists)等要素的集合。
信息安全管理体系的遵循原则:
程序文件一般不涉及纯技术性的细节,细节通常在工作指令或作业指导书中规定;
程序文件是针对影响信息安全的各项活动的目标和执行做出的规定,它应阐明影响信息安全的管理人员、执行人员、验证或评审人员的职责、权力和相互关系,说明实施各种不同活动的方式、将采用的文件及将采用的控制方式;
程序文件的范围和详细程度应取决于安全工作的复杂程度、所用的方法以及这项活动涉及人员所需的技能、素质和培训程度;
程序文件应简练、明确和易懂,使其具有可操作性和可检查性;
程序文件应保持统一的结构与编排格式,便于文件的理解与使用