信息安全管理体系建设

佛山市南海天富科技有限公司

信息安全管理体系建设咨询服务项目

编写人员：黄世荣

编写日期：2015年12月7日

项目缩写：

文档版本：V1.0

修改记录:

时间：2015年12月

一、信息化建设引言

随着我国中小企业信息化的普及，信息化给我国中小企业带来积极影响的同时也带来了信息安全方面的消极影响。一方面：信息化在中小企业的发展过程中，对节约企业成本和达到有效管理的起到了积极的推动作用。另一方面，伴随着全球信息化和网络化进程的发展，与此相关的信息安全问题也日趋严重。

由于我国中小企业规模小、经济实力不足以及中小企业的领导者缺乏信息安全领域知识和意识，导致中小企业的信息安全面临着较大的风险，我国中小企业信息化进程已经步入普及阶段，解决我国中小企业的信息安全问题已经刻不容缓。

通过制定和实施企业信息安全管理体系能够规范企业员工的行为，保证各种技术手段的有效实施，从整体上统筹安排各种软硬件，保证信息安全体系协同工作的高效、有序和经济性。信息安全管理体系不仅可以在信息安全事故发生后能够及时采取有效的措施，防止信息安全事故带来巨大的损失，而更重要的是信息安全管理体系能够预防和避免大多数的信息安全事件的发生。

信息安全管理就是对信息安全风险进行识别、分析、采取措施将风险降到可接受水平并维持该水平的过程。企业的信息安全管理不是一劳永逸的，由于新的威胁不断出现，信息安全管理是一个相对的、动态的过程，企业能做到的就是要不断改进自身的信息安全状态，将信息安全风险控制在企业可接受的范围之内，获得企业现有条件下和资源能力范围内最大程度的安全。

在信息安全管理领域，“三分技术，七分管理”的理念已经被广泛接受。结合ISO/IEC27001信息安全管理体系，提出一个适合我国中小企业的信息安全管理的模型，用以指导我国中小企业的信息安全实践并不断提高中小企业的安全管理能力。

二、ISO27001信息安全管理体系框架建立

ISO27001信息安全管理体系框架的搭建必须按照适当的程序来进行（如下图所示）。首先，各个组织应该根据自身的状况来搭建适合自身业务发展和信息安全需求的 ISO27001信息安全管理体系框架，并在正常的业务开展过程中具体实施构架的ISO27001信息安全管理体系。同时在信息安全管理体系的基础上，建立各种与信息安全管理框架相一致的相关文档、文件，并对其进行严格的管理。对在具体实施ISO27001信息安全管理体系过程中出现的各种信息安全事件和安全状况进行严格的记录，并建立严格的反馈流程和制度。

（1）信息安全策略

组织应制定信息安全策略（Information Security Policy）以对组织的信息安全提供管理方向与支持。组织不仅要有一个总体的安全策略，而且，在总体策略的框架内，根据风险评估的结果，制定更加具体的安全方针，明确规定具体的控制规则，如“清理桌面和清楚屏幕策略”、“访问控制策略”等。

（2）范围

组织要根据组织的特性、地理位置、资产和技术对信息安全管理体系范围（scope）进行界定。组织信息安全管理体系范围包括以下项目：

需保护的信息系统、资产、技术。

实物场所（地理位置、部门）。

（3）风险评估

组织需要选择一个适合其安全要求的风险评估和管理方案，然后进行合乎规范的评估，识别目前面临的风险及风险等级；风险评估的对象是组织的信息资产，评估考虑的因素包括资产所受的威胁、薄弱点及威胁发生后对组织的影响。无论采用何种风险评估工具方法，其最终评估结果应是一致的。

（4）风险管理

组织应根据信息安全策略和所要求的安全程度，识别所要管理的风险内容。控制风险包括识别所需的安全措施，通过降低、避免、转移将风险降至可接受的水平。风险随着过程的更改、组织的变化、技术的发展及新出现的潜在威胁而变化。

（5）控制目标与控制方式的选择

风险评估之后，组织应从已有信息安全技术中选择适当的控制方法，包括额外的控制（组织新增加的和法律法规所要求的），降低已识别的风险。

（6）适用性声明

信息安全适用性声明记录了组织内相关的风险管制目标和针对每种风险所采取的控制措施。它的准备，一方面是为了向组织内的员工声明对信息安全面对风险的态度；另一方面也是为了向外界表明组织的态度和作为。

三、ISO27001信息安全管理体系实施方法

ISO27001信息安全管理体系（Information Security Management System）作为组织完整的管理体系中的一个重要环节，构成了信息安全具有能动性的部分，是指导和控制组织的关于信息安全风险的相互协调的活动，其针对对象就是组织的信息资产。了解信息安全管理的方法，我们必须先明确企业或组织的信息安全需求。一般来说，企业的信息安全需求主要有三个来源，他们分别是法律法规与合同条约的要求；组织的原则、目标和规定；风险评估的结果等。

信息安全的成败取决于两个因素：技术和管理，人们常说，三分技术，七分管理，可见管理对信息安全的重要性，我们可以把安全技术比作信息安全的构筑材料，那么安全管理则是真正的粘合剂和催化剂。现实世界里，大多数安全事件的发生和安全隐患的存在，与其说是技术上的原因，不如说是管理不善造成的，理解并重视管理对于信息安全的关键作用，对于真正实现信息安全目标来说尤其重要。信息安全不是产品的简单堆积，也不是一次性的静态过程，它是人员、技术、操作这三种要素的紧密结合的系统工程，是不断演进、循环发展的动态过程。

信息安全管理是指导和控制组织的关于信息安全风险的相互协调的活动。首先应该制定信息安全的策略方针，它是信息安全管理的导向和支持，在此基础上选择控制目标与控制方式，企业和组织还需考虑控制成本与风险平衡的原则，将风险降低到组织可接受的水平，整个管理过程需要全员的参与，实施动态管理。实施安全管理，还应遵循管理的一般模式——PDCA模型。

PDCA模型，即Plan、Do、Check和Act，是一种持续改进的管理模式，见下图所示。