风险管理常用横型之ISMS

4. ISMS

ISMS通常是指以ISO/IEC 27000标准族为代表的信息安全管理体系。该系列在信息安全管理系统( ISMS)的背景下，通过信息安全控制措施来管理信息系统安全，其设计类似于质量保证管理体系（IS0 9000系列）、环保（IS0 14000系列）等管理系统。

该系列范围广泛，涉及隐私，保密性和IT、技术、网络安全问题。适用于各种形状和大小的组织。鼓励所有组织评估其信息风险，然后在相关的指导和建议的基础上，根据需要对其进行处理（通常使用信息安全控制措施）。鉴于信息风险和安全性的动态性质，ISMS概念

包含持续的反馈和改进活动，以应对事件的威胁，漏洞或影响的变化。 ISMS常见的相关的标准包括：

ISO／IEC 27000 -信息安全管理系统一概述和词汇

ISO／IEC 27001 -信息技术一安全技术一信息安全管理体系一要求。2013年发布了最新的标准包括14个控制类，1 13个控制目标。

ISO／IEC，27002 -信息安全管理实践守则一本质上是可能通过ISMS管理的信息安全控制的详细目录

ISO／IEC 27003 -信息安全管理体系实施指导

ISO／IEC 27004 -信息安全管理一监测，测量，分析和评估ISO／IEC 27005 -信息安全风险管理

ISO／IEC 27006 -提供信息安全管理体系审核和认证机构的要求

ISO／IEC 27007 -信息安全管理体系审核指南（重点审核管理体系）

ISO／IEC TR 27008 - ISMS控制审核员指导（专注于审核信息安全控制）

ISO／IEC 27009 -本质上是委员会内部的文件，用于制定IS027000标准的行业特定变体或实施指南

ISO／IEC 27010 -跨部门和组织间通信的信息安全管理

ISO／IEC 27011 -基于ISO／IEC 27002的电信组织的信息安全管理指南2。