信息安全管理體系(Information Security Management System,簡稱為ISMS)是1998年前后從英國發展起來的信息安全領域中的一個新概念,是管理體系(Management System,MS)思想和方法在信息安全領域的應用。近年來,伴隨著ISMS國際標準的制修訂,ISMS迅速被全球接受和認可,成為世界各國、各種類型、各種規模的組織解決信息安全問題的一個有效方法。ISMS認證隨之成為組織向社會及其相關方證明其信息安全水平和能力的一種有效途徑。
在ISMS的要求標準ISO/IEC27001:2013(信息安全管理體系 要求)的第3章術語和定義中,對ISMS的定義如下:
ISMS(信息安全管理體系):是整個管理體系的一部分。它是基于業務風險方法,來建立、實施、運行、監視、評審、保持和改進信息安全的。注:管理體系包括組織結構、方針策略、規劃活動、職責、實踐、程序、過程和資源。
這個定義看上去同其他管理體系的定義描述不盡相同,但我們也可以用ISO GUIDE 72:2001(Guidelines for the justification and development of management system standards管理體系標準合理性和制定導則)中管理體系的定義,將ISMS描述為:組織在信息安全方面建立方針和目標,并實現這些目標的一組相互關聯、相互作用的要素。
ISMS同其他MS(如QMS、EMS、OHSMS)一樣,有許多共同的要素,其原理、方法、過程和體系的結構也基本一致。
單純從定義理解,可能無法立即掌握ISMS的實質,我們可以把ISMS理解為一臺“機器”,這臺機器的功能就是制造“信息安全”,它由許多“部件”(要素)構成,這些“部件”包括ISMS管理機構、ISMS文件以及資源等,ISMS通過這些“部件”之間的相互作用來實現其“保障信息安全”的功能。