信息安全管理体系让企业建立了动态管理和持续改进的思想

    随着信息技术不断发展，信息系统已经成为一种不可缺少的信息交换工具，企业对于信息资源的依赖程度也越来越大。然而，由于计算机网络具有开放性、互联性、连接方式的多样性及终端分布的不均匀性等特点，再加上本身存在技术弱点和人为的疏忽，导致信息系统容易受到计算机病毒、黑客或恶意软件的入侵，致使信息被破坏或窃取，使得信息系统比传统的实物资产显得更加脆弱。

    在这种大环境下，企业必须加强信息安全管理能力。但企业不单面临着信息安全方面问题，同时还面临经营合规方面的问题、系统可用性问题以及业务可持续问题等越来越多的问题。因此，要求我们探索建立一套完善的体系，来有效地保障信息系统的全面安全。

    通过建立信息安全管理体系，我们对信息安全事件及风险有了较为清楚的认识，同时掌握了一些规避和处理信息安全风险的方法，更重要的是我们重新梳理了组织内信息安全体系范围，明确了信息安全系统中人员相关职责，对维护范围内的各信息系统进行了全面的风险评估，并且通过风险评估涉及的内容确定了具体的控制目标和控制方式，引入了持续改进的戴明环管理思想，保证了体系运转的有效性。具体效果如下：

（1）制定了信息安全方针和多层次的安全策略，为各项信息安全管理活动提供指引和支持。

（2）通过信息风险评估挖掘了组织真实的信息安全需求。加强了人员安全意识，建立了以预防为主的信息安全理念。

（3）根据信息安全发展趋势，建立了动态管理和持续改进的思想。