曹劍鋒

隨著信息化程度的不斷提高，信息安全的重要性得到了前所未有的重視?！?006—2020年國家信息化發(fā)展戰(zhàn)略》中認(rèn)為“信息安全的重要性與日俱增，成為各國面臨的共同挑戰(zhàn)”。

雖然國內(nèi)外重視程度都很高，但是“各國面臨的共同挑戰(zhàn)”并沒有得到很好的解決，具體表現(xiàn)為信息安全事件發(fā)生率居高不下。根據(jù)最近的2010/2011Computer Crime and Security Survey報告，有41.1%的受訪組織經(jīng)歷了信息安全事件，攻擊源來自內(nèi)部用戶濫用網(wǎng)絡(luò)或郵件（Insider abuse of Net access or email）的 占24.8%。國內(nèi)雖然沒有權(quán)威的統(tǒng)計數(shù)據(jù)，但是根據(jù) CNCERT/CC（http：//www.cert.org.cn/，國家互聯(lián)網(wǎng)應(yīng)急中心）的“被黑網(wǎng)站統(tǒng)計”和“惡意代碼排行”欄目推斷，不會比國外的情況更好。而與此同時，被試組織殺毒軟件和防火墻的使用率分別達(dá)到了97%和94.9%，但49%的被試組織沒有安全意識教育或沒有相應(yīng)的有效性測量機(jī)制，這意味著目前重技術(shù)輕管理的思路并沒有實(shí)質(zhì)性的改變信息安全管理（Information Security Management，ISM）的有效性。

只有在宏觀層次上實(shí)施了良好的信息安全管理，即采用國際上公認(rèn)的最佳實(shí)踐或規(guī)則集等，才能使微觀層次上的安全，如物理措施等，實(shí)現(xiàn)其恰當(dāng)?shù)淖饔谩２捎眯畔踩芾眢w系（ISMS，Information Security Management System）并得到認(rèn)證毫無疑問是組織應(yīng)該考慮的方案之一。事實(shí)上，也只有這樣才能真正站在組織的高度上來對待信息安全問題。

ISMS是關(guān)于信息安全的管理體系，是整個管理體系的一部分。它基于業(yè)務(wù)風(fēng)險方法來建立、實(shí)施、運(yùn)行、監(jiān)視、評審、保持和改進(jìn)信息安全。ISMS的概念已經(jīng)跳出了傳統(tǒng)的“為了安全信息而信息安全”的理解，它強(qiáng)調(diào)的是基于業(yè)務(wù)風(fēng)險方法來組織信息安全活動。

基于上述情況，為了在信息安全領(lǐng)域樹立起正確觀念并培養(yǎng)專業(yè)人才，為了把我國信息安全領(lǐng)域?qū)＜覍W(xué)者們近幾年來自主研究出的得到實(shí)踐驗(yàn)證了的支持ISMS的措施和手段更進(jìn)一步推廣，為了減少各類組織面對風(fēng)險可能產(chǎn)生的損失，我社組織他們圍繞ISMS編寫了信息安全管理體系叢書。叢書成功入選國家“十二五”重點(diǎn)規(guī)劃圖書。

《信息安全管理體系實(shí)施指南》是叢書13個分冊中的關(guān)鍵分冊，其共分三篇：標(biāo)準(zhǔn)解讀、標(biāo)準(zhǔn)落地及延伸閱讀。

標(biāo)準(zhǔn)解讀部分，對 GB/T 22080—2008/ISO/IEC 27001：2005《信息技術(shù)

安全技術(shù) 信息安全管理體系 要求》的解讀力求通俗易懂，用了大量圖示，也列舉了大量示例，以幫助讀者利用已有的經(jīng)驗(yàn)來理解信息安全管理體系中晦澀的概念。

標(biāo)準(zhǔn)落地部分，主要介紹標(biāo)準(zhǔn)如何實(shí)施，本部分內(nèi)容參考了ISO/IEC 27003：2010，但又有顯著不同：盡量考慮國內(nèi)部署信息安全管理體系的特殊情況，不但介紹標(biāo)準(zhǔn)實(shí)施的基本步驟，而且將文件設(shè)計的編寫單獨(dú)作為一章進(jìn)行討論，給出了從標(biāo)準(zhǔn)條款到文件目錄，從文件目錄到單個文件的概要和大綱，直至組織針對這些概要和大綱所選擇的具體控制措施，最后成文的整個過程，力爭做到“授人以漁”。

延伸閱讀部分，主要為想深入研究信息安全管理體系的讀者準(zhǔn)備，一部分是信息安全管理體系標(biāo)準(zhǔn)族的概述，另一部分是除了 GB/T 22080—2008/ISO/IEC 27001：2005之外的已經(jīng)出版的重要標(biāo)準(zhǔn)的綜述。

本書成文深入淺出，通俗易懂，大量使用生活化的例子對其中的概念進(jìn)行類比，避免了“以理論解釋理論”的慣常套路，極有利于讀者的直觀理解。