关于构建ISO27001信息安全管理体系的意义

关于构建ISO27001信息安全管理体系的意义

作者：胡荣鑫刘艳

来源：《名城绘》2020年第03期

摘要：本文首先阐述了IS027001标准，接着分析了构建信息安全管理体系的意义，最后对ISO27001信息安全管理体系构建进行了探讨。

关键词：ISO27001;信息安全管理体系;意义

近年来，信息安全技术体系基本建设完成后，运营商面对信息安全管理存在的新问题和不足，开始开展和推进信息安全管理建设，希望能解决客户信息泄露问题，恶意订购业务、系统漏洞修复不及时、业务断线事件频发和应急响应迟缓、安全意识淡薄等严重问题。

安全管理体系的建设与实施，是任何一个企业都面临的崭新课题。如何规划和设计安全管理体系，实施中存在问题，如何处理和规避这些问题，都是摆在企业面前迫切需要回答的疑点和问题。

1 IS027001标准

随着全球信息化水平不断提高，信息安全逐渐成为社会各界的关注重点。尤其是在近些年一系列信息安全问题被媒体曝光之后，各行各业均加大了对信息安全的担忧。IS027001是国际标准化组织颁布的一套全面严谨的信息安全管理体系，旨在帮助各种类型和规模的组织实施并运行有效的信息安全管理，从而增强企业识别、防止、减少和控制组织信息安全风险的能力。IS027001信息安全管理体系由两部分构成。第一部分是信息安全管理体系的实施指南，提供了一套综合的由信息安全最佳惯例组成的实施规则，主要内容包括11个安全类别、39个控制目标、133项控制措施。第二部分是信息安全管理体系规范，详细说明了建立、实施和维护信息安全管理体系的要求，指出实施机构应遵循的风险评估标准。

2构建信息安全管理体系的意义

2.1信息安全和风险管理是提升企业竞争力的重要条件

在信息时代，所有的企业，不论其规模、结构、性质或产业是什么，提供给用户的各类服务，其前提条件一定要是安全的服务。因此，信息安全和风险管理都将是必不可少的。

Is027001国际认证不仅仅是衡量组织信息安全管理水平的标准，也已经成为组织具有更高规范管理水平和竞争力的标志。比如，在软件或集成电路等很多产业之间的竞争，已经发展成为价值链与价值链之间的竞争。如果我国企业没有通过Is027001等国际标准认证的管理体系，其管理水平和国际竞争力将大打折扣，从而有可能错失一些外包订单或失去与国际大厂商合作的机会。反之，构建基于Is027001等国际标准的管理体系，将极大地提升中国企业的国际竞争力水平。

2.2信息风险安全管理能力成为影响技术合作的因素之一

加入WTO后，企业间的竞争日益激烈，信息安全已成为某些IT企业产品的组成部分，信息安全能力成为影响技术合作的因素之一，来自外部和内部的安全需求使得越来越多的IT 企业把信息安全提到了一个新的高度。对于企业而言，风险和安全是一把“双刃剑”，并不意味着都是“坏事”，有效的信息安全管理和风险管理也正在成为竞争优势的源泉。同时，随着IT 重要睦的增加和普遍应用，IT将被整合到所有的生产过程与经营管理体系中去。所以，IT的风险亦将显著影响到企业的战略执行及目标的实现。在这种情况下，将风险管理与信息安全治理整合起来推动，就成为必然的选择。

2.3基于IS027001的风险评估对组织建立信息安全管理体系起重要作用

目前各企业用于信息安全建设的投入比例越来越大，但对于这些投入的必要性和有效性一般没有正式的评估，存在很大的盲目性，采用Is027001是对企业未来的一项投资，可以带来一系列的益处。ISO27001要求组织在建立信息安全管理体系时，必须进行风险评估，对组织所面临的信息安全风险进行等级排序。基于风险评估的结果，制定必要的信息安全策略、管理方案和程序，选择适当的控制方式来降低这些风险到可接受的水平。组织在确定控制目标和控制方式时，应该坚持花费和风险相平衡的原则。建立IsMs过程中采用系统方法，确保万无一失，要求用户识别信息安全要求，为信息安全管理建立方针、目标和程序，监控IsMs的效率和效果，在目标测量的基础上持续改进IsMs业绩。

3 ISO27001信息安全管理体系构建分析

3.1 ISO27001信息安全管理体系构建思路

参考ISO27001标准，结合企业的信息管理需求与现状，大致可以按照如下思路构建。第一是准备工作，通过管理层决策进行安全组织和人员配置，并对其展开宣传培训，为后期工作打下基础。第二是构建框架，根据ISO27001信息安全体系框架，对管理体系和技术框架进行分析，得出相应的理论支撑基础。第三是评估风险，按照信息安全的具体评估流程，通过风险分类和资产分类作出相应评估，以此为信息安全管理体系构建的数据基础。第四是改善安全，将风险评估结合管理技术，得出科学合理的改善措施。第五是运行实施，按照之前得出的措施严格实施，对于已经建立的部分进行完善，并纳入整体管理体系。第六是检查改进，通过实施

和运行信息安全管理体系，保证信息安全管理体系能够正常运转，并为企业提供可靠的信息安全保障。第七是运行改进，在信息安全管理体系运转的过程中，不断发现问题解决问题，逐步完善体系使其日益成熟稳定。

3.2 ISO27001信息安全管理体系的实现

在明确构建思路之后，就需要进入到实际建设阶段，将计划付诸行动。实现ISO27001信息安全管理体系的构建，需要从多个步骤来进行。首先是在企业决策层树立信息安全管理的基本概念，只有掌握企业未来方向的决策层能够认识到信息安全管理的重要性和必要性，才能带头做好相关工作。其次是引进和开发先进的信息安全管理技术，实现相关技术的国产化，摒除国外技术可能存在的技术性后门，避免造成企业信息资料被窃取。再次构建对应的信息安全级别制度，即针对员工在企业中的不同部门以及不同職位，给予其不同的信息安全级别。级别越高，可获取的信息资料范围和机密程度也越高;级别越低，可获取的信息资料范围和机密程度也越低。最后是将构建思路的各步逐一实现，并将其与上述几个方面进行结合，以此构建全方位的基于ISO27001下的信息安全管理体系，保证企业信息安全。

4结束语

在信息安全问题日益突出的现实背景下，加强信息安全管理体系的构建，具有极其重要的现实作用及未来意义。在ISO27001信息安全标准下，开发先进的技术，仔细评估信息安全风险，构建符合企业现阶段情况与未来发展的信息安全管理体系。

参考文献：

[1]胡灵娟.大型数据中心ISO27001信息安全管理体系贯标认证实践[J].中国金融电脑.2016（05）.

[2]韩春梅.基于ISO27001标准的计算机化考试信息安全防护策略设计[J].中国考试.2013（05）.

[3]卢挺，陈多思，周亮，王亚春，徐罗罗.基于ISO27001的信息安全管理体系有效性测量与评价指标研究[J].电子商务.2016（02）.

（作者单位：中车大连机车车辆有限公司）