构建信息安全管理体系

构建信息安全管理体系

摘要：随着信息技术的不断应用，信息安全管理已经逐渐成为各企业或各机构

管理体系的重要组成部分。了解信息安全对企业发展的重要性，制定科学合理的

方案构建完善的信息安全管理体系，是当前企业发展中需要解决的问题之一。本

文主要分析信息安全管理体系的构建措施。

关键词：信息；安全；管理体系

Pick to：along with the continuous application of information technology，information security management has gradually become the enterprise or the organization management system is an important part of.Understand the importance

of information security for enterprise development，formulate scientific and rational scheme to build the perfect information security management system，is one of the problems that need to be solved in current enterprise development.This article mainly analyzes the construction of information security management system.

Keywords：information；Safety；The management system

前言：信息安全管理是指在信息的使用、存储、传输过程中做好安全保护工作，保持信息的保密性、完整性和可用性。其中，保密性是指保障信息仅能被具

有使用权限的人获取或使用；完整性指为信息及其处理方法的准确性和完整性提

供保护措施；可用性则指使用权限的人可在需要时获取和使用相关的信息资产。

因此，做好信息安全管理体系的研究对于提升信息的安全性具有现实意义。

1 信息安全管理体系

1.1 信息安全管理体系介绍

根据网络安全相关统计表明，网络信息安全事故中由于管理问题导致出现安

全事故的高达70%以上，因此解决网络信息的安全问题，除从技术层面进行改进外，还应加强网络信息的安全管理力度。信息安全管理体系的建设是一项长期的、系统的、复杂的工程，在建设信息安全管理体系时，应对整个网络系统的各个环

节进行综合考虑、规划和构架，并根据各个要素的变化情况对管理体系进行必要

的调整，任何环节存在安全缺陷都可能会影响整个体系的安全。

1.2 信息安全管理体系的功能

信息安全管理主要是指导企业对于信息安全风险相互协调的活动，这种指导

性活动主要包括信息安全方针的制定、风险评估、安全保障、控制目标及方式选

择等。企业要实现对信息资产进行安全、高效、动态的管理，就需要建立科学、

完善、标准的信息安全管理体系。因此，一个有效的信息安全管理体系应该具备

以下功能：对企业的重要信息资产进行全面的保护，维持企业的竞争优势；使企

业能在预防和持续发展的观点上处理突发事件，当信息系统受到非法入侵时，能

使相关的业务损失降到最低，并能维持基本的业务开展；使企业的合作伙伴和客

户对企业充满信心；能使企业定期对系统进行更新和控制，以应对新的安全威胁。

2 信息安全管理体系的构建

2.1 信息安全管理框架的建立

信息安全管理框架是建设信息安全管理体系的基础和参照依据，企业应根据

自身的生产情况或经营情况搭建适合企业自身发展的信息安全管理框架，并在具

体的业务开展中对各安全管理制度进行实施，并建立各种与信息安全管理构架相

一致的文件或文档，记录信息安全管理体系实施过程中出现的安全事件和异常状况，为后期建立严格的反馈制度提供参考。

2.1.1 信息安全管理策略。企业应制定信息安全管理策略，为企业的信息安全

管理提供方向和依据。对于企业来说，不仅要建立总体的安全策略，还应在此基

础上，根据风险评估结果，制定更加详细、具体、具有可行性的安全方针，对各

部门及各职员的职责进行明确的划分和控制。如访问控制策略、桌面清理策略、

屏幕清除策略等。

2.1.2 范围划分。企业应根据企业自身的特性，结合企业所在的地理位置、资

产和技术等对信息安全管理体系的范围进行科学界定。一般来说，企业信息安全

管理体系包括的项目主要有信息系统、信息资产、信息技术、实物场所等。

2.1.3 风险评估。企业需要对风险评估和管理方案进行科学选择，在选择时应

根据企业自身的实际情况进行规范评估，对目前所面临的信息安全风险和风险等

级进行准确识别。企业的信息资产是风险评估的主要对象，评估时应考虑的因素

有资产所受到的威胁、薄弱点及受到攻击后对企业的影响。风险评估的方法有多种，但无论选择哪种评估工具，其最终的评估结果是一致的。

2.1.4 风险管理。企业应根据信息安全策略和所要求的安全程度，对要管理的

风险内容进行识别。风险管理主要是风险控制，企业可采取一定的安全措施，将

风险降低到企业可接受的水平。除降低风险外，还可通过转移风险、规避风险的

方法维护企业信息资产的安全。对于信息资产来说，风险并不是一成不变的，当

企业发生变化、过程发生更改、技术进行革新或新风险出现后，原有的风险就会

随之发生变化，这种变化也是对风险进行管理的重要参考。

2.1.5 控制方式的选择。风险评估后，企业应从已有的安全技术中寻求有效的

控制方法降低已识别的风险，控制方式还可包括一些额外的控制，如企业新增加

的控制方式或其他法律法规所要求的控制方式。

2.1.6 适用性声明。信息安全适用性声明主要是对企业内风险管理目标、针对

每种风险所采取的控制措施等内容改进记录，这种记录的主要目的是企业向内部

员工表明信息安全管理的重要性，同时也是企业向外部表明企业对信息安全及风

险的态度和作为。

2.2 管理构架的实施

信息安全管理体系（ISMS）框架的构建只是建设信息安全管理体系的第一步，而框架的实施才是构建ISMS的重要步骤。在实施ISMS过程中，应对管理体系、

实施的具体费用、企业职工的工作习惯、不同部门之间的合作等各个要素进行综

合考虑。企业可按照既定目标和实施方式对信息的安全性进行有效控制，这种有

效性主要通过两方面指标体现，一是控制活动执行的严格性；二是活动的结果与

既定目标的一致性。

结束语

总之，在信息时代不断的到来，信息在企业发展中的作用越来越强大，并且

已经成为企业的一种重要资产，对于企业信息资产来说，做好信息的安全管理工作，对于企业的发展具有重要意义。在建立信息安全管理体系时，应对管理框架、管理范围、管理方式等内容进行科学选择，并做好相关的文档记录，为后期信息

安全管理体系的进一步优化提供参考。

参考文献：

[1]高文涛.国内外信息安全管理体系研究[J].计算机安全，2008（12）：95-97.

[2]李慧.信息安全管理体系研究[D].西安电子科技大学，2005.

[3]王海军.网络信息安全管理体系研究[J].信息网络安全，2008（3）：47-48.