胡鵬(中石化湖北石油分公司，湖北 武漢 430000)

1 ISO27001信息安全管理體系的內(nèi)涵簡述

1.1 ISO27001信息安全管理體系的起源與發(fā)展簡述

隨著全球信息化水平不斷提高，信息安全逐漸成為社會各界的關(guān)注重點。尤其是在近些年一系列信息安全問題被媒體曝光之后，各行各業(yè)均加大了對信息安全的擔憂。ISO27001標準于1993年由英國貿(mào)易工業(yè)部立項，在1995首次出版了BS 7799-1:1995《信息安全管理實施細則》，該細則提供了一套完整的、由信息安全慣例所構(gòu)建的信息安全管理體系。其目的是為了確定工商業(yè)信息系統(tǒng)在絕大部分情況下的所需控制范圍具有統(tǒng)一的參考標準，并且能夠適用于不同規(guī)模的組織。到2000年2月，BS 7799-1:1999《信息安全管理實施細則》通過了國際標準化組織ISO的認可。到2002年9月，BS 7799-2:2002草案經(jīng)過廣泛討論之后，正式進行發(fā)表成為了國際通用標準，同時廢止了之前一版細則。在隨后的幾年內(nèi)，該標準進行了多次修正，在組織編排和內(nèi)容完整性上都有了大幅提高。到目前為止，ISO27001標準已經(jīng)獲得了大量的國家認可，是全球范圍內(nèi)最具代表性的信息安全管理體系。

1.2 ISO27001信息安全管理體系的好處

ISO27001信息安全管理體系標準可以有效地對信息資源形成保護，促使信息化進程有序健康可持續(xù)地發(fā)展。ISO27001是信息安全管理領(lǐng)域的標準體系，類似于質(zhì)量管理體系認證ISO9000標準。當企業(yè)通過ISO27001的認證，就等同于企業(yè)的信息安全管理是科學合理的，能夠切實有效地保護客戶信息資料和企業(yè)內(nèi)部信息資料。在通過ISO27001信息安全管理體系認證之后，可以具有多個方面的好處或優(yōu)勢。引入信息安全管理體系后可以協(xié)調(diào)各個層面的信息管理，簡化管理環(huán)節(jié)提高管理效率。通過ISO27001信息安全管理體系認證，還可以增加企業(yè)之間電子商務(wù)往來的信用度，能夠在網(wǎng)站和貿(mào)易伙伴之間建立起信任的合作關(guān)系，加深企業(yè)商務(wù)信息化發(fā)展。通過ISO27001信息安全管理體系認證，可以促使相關(guān)企業(yè)實現(xiàn)信息安全承諾，消除客戶及員工存有的不信任感，改善企業(yè)業(yè)績。不僅如此，甚至還可以獲得國際認可，以便于業(yè)務(wù)向海外拓展。

2 ISO27001信息安全管理體系構(gòu)建現(xiàn)狀分析

2.1 信息安全現(xiàn)狀分析

目前，市面上大多數(shù)企業(yè)都已經(jīng)構(gòu)建了適用的信息系統(tǒng)，主要包括了ERP系統(tǒng)、CIM系統(tǒng)、OA系統(tǒng)、PLM系統(tǒng)、網(wǎng)絡(luò)系統(tǒng)、電子郵件系統(tǒng)以及企業(yè)網(wǎng)站等。在用戶使用這些系統(tǒng)時，會遭遇相應(yīng)的信息安全問題，比如存在于外網(wǎng)中的黑客攻擊和病毒傳染等，存在于內(nèi)網(wǎng)中的病毒感染和信息泄露等問題。在一系列主流企業(yè)中，其計算機多采用分散管理，使用者對計算機具有很高的使用權(quán)限，經(jīng)常會因為一些違規(guī)操作或誤操作，給系統(tǒng)造成嚴重影響，給企業(yè)信息安全形成沖擊。同時，由于計算機管理具有局限性，可能存在部分人員非法拆卸相關(guān)硬件，不僅造成企業(yè)經(jīng)濟損失，更會造成信息資源外泄?？偟膩碚f，大多數(shù)企業(yè)對涉及知識產(chǎn)權(quán)、客戶資料和企業(yè)資料等信息安全管理的工作并不到位，許多都是徒有其表，無法切實保證信息安全。

2.2 信息安全問題簡述

通過對一些企業(yè)實際調(diào)研就能發(fā)現(xiàn)，雖然企業(yè)構(gòu)架了基礎(chǔ)的網(wǎng)絡(luò)系統(tǒng)，并且對上網(wǎng)行為進行了控制，但是仍然存在不少的問題。比如缺少有效的信息安全管理技術(shù)支持、缺少對信息安全管理相關(guān)事例的學習研究和缺少明確的控制管理規(guī)章制度等。總的來說，信息安全問題可以分為以下幾類:一是缺乏信息安全制度，沒有可以保證企業(yè)信息安全、推進信息安全建設(shè)和約束相關(guān)人員的具體制度；二是相關(guān)人員信息安全意識薄弱，在日常工作中缺少對企業(yè)信息安全的保護；三是信息泄露途徑較多，各種外聯(lián)設(shè)備或軟件，都可能引發(fā)信息泄露；四是信息安全技術(shù)缺乏，企業(yè)內(nèi)部的信息安全管理多是通過文字條款在進行約束，缺少技術(shù)層面的規(guī)范。

2.3 信息安全的總體需求分析

就目前我國企業(yè)的實際發(fā)展情況來看，需要參考信息安全的現(xiàn)狀及存在問題，提出企業(yè)自身的信息安全需求?？偟膩碚f，信息安全需求可以分為以下幾點:一是保護企業(yè)信息不遭受各種破壞，從企業(yè)內(nèi)部和外部逐一排除可能存在的潛在威脅；二是確保公司業(yè)務(wù)正常進行，不會被意外情況打斷；三是最小化企業(yè)風險，嚴控商業(yè)機密，避免商業(yè)機密泄露給企業(yè)帶來毀滅性打擊；四是最大化企業(yè)投資回報比，通過信息管理維持企業(yè)的可持續(xù)發(fā)展。

3 ISO27001信息安全管理體系構(gòu)建分析

3.1 構(gòu)建ISO27001信息安全管理體系的意義分析

信息安全管理體系從實質(zhì)上來說，是一種信息安全管理模式，其目的是為了提高企業(yè)的管理水平，促進企業(yè)良性發(fā)展，保證企業(yè)各種信息資源的安全，不被外界竊取給企業(yè)造成負面影響。信息安全管理體系借助諸多標準，其主要參考就是ISO27001信息安全管理標準，通過參考該標準實現(xiàn)企業(yè)信息安全管理規(guī)范有序，使企業(yè)信息安全管理向科學合理的方向發(fā)展。信息安全管理是伴隨信息技術(shù)發(fā)展而發(fā)展的，在信息社會中，信息資源已經(jīng)成為一種十足珍貴的資源，具有極高的經(jīng)濟價值。

3.2 ISO27001信息安全管理體系構(gòu)建思路

參考ISO27001標準，結(jié)合企業(yè)的信息管理需求與現(xiàn)狀，大致可以按照如下思路構(gòu)建。第一是準備工作，通過管理層決策進行安全組織和人員配置，并對其展開宣傳培訓，為后期工作打下基礎(chǔ)。第二是構(gòu)建框架，根據(jù)ISO27001信息安全體系框架，對管理體系和技術(shù)框架進行分析，得出相應(yīng)的理論支撐基礎(chǔ)。第三是評估風險，按照信息安全的具體評估流程，通過風險分類和資產(chǎn)分類作出相應(yīng)評估，以此為信息安全管理體系構(gòu)建的數(shù)據(jù)基礎(chǔ)。第四是改善安全，將風險評估結(jié)合管理技術(shù)，得出科學合理的改善措施。第五是運行實施，按照之前得出的措施嚴格實施，對于已經(jīng)建立的部分進行完善，并納入整體管理體系。第六是檢查改進，通過實施和運行信息安全管理體系，保證信息安全管理體系能夠正常運轉(zhuǎn)，并為企業(yè)提供可靠的信息安全保障。第七是運行改進，在信息安全管理體系運轉(zhuǎn)的過程中，不斷發(fā)現(xiàn)問題解決問題，逐步完善體系使其日益成熟穩(wěn)定。

3.3 ISO27001信息安全管理體系的實現(xiàn)

在明確構(gòu)建思路之后，就需要進入到實際建設(shè)階段，將計劃付諸行動。實現(xiàn)ISO27001信息安全管理體系的構(gòu)建，需要從多個步驟來進行。首先是在企業(yè)決策層樹立信息安全管理的基本概念，只有掌握企業(yè)未來方向的決策層能夠認識到信息安全管理的重要性和必要性，才能帶頭做好相關(guān)工作。其次是引進和開發(fā)先進的信息安全管理技術(shù)，實現(xiàn)相關(guān)技術(shù)的國產(chǎn)化，摒除國外技術(shù)可能存在的技術(shù)性后門，避免造成企業(yè)信息資料被竊取。再次構(gòu)建對應(yīng)的信息安全級別制度，即針對員工在企業(yè)中的不同部門以及不同職位，給予其不同的信息安全級別。級別越高，可獲取的信息資料范圍和機密程度也越高；級別越低，可獲取的信息資料范圍和機密程度也越低。最后是將構(gòu)建思路的各步逐一實現(xiàn)，并將其與上述幾個方面進行結(jié)合，以此構(gòu)建全方位的基于ISO27001下的信息安全管理體系，保證企業(yè)信息安全。

4 結(jié)語

在信息安全問題日益突出的現(xiàn)實背景下，加強信息安全管理體系的構(gòu)建，具有極其重要的現(xiàn)實作用及未來意義。在ISO27001信息安全標準下，開發(fā)先進的技術(shù)，仔細評估信息安全風險，構(gòu)建符合企業(yè)現(xiàn)階段情況與未來發(fā)展的信息安全管理體系。

[1]劉曉敏，徐磊.信息安全管理體系的定義、功能和構(gòu)建方法分析[J].信息通信，2013（01）.

[2]饒玉輝.基于ISO27001的京東方信息安全管理體系建設(shè)[D].北京郵電大學，2012.

[3]朱璇.基于ISO27001的信息安全管理體系的研究和實現(xiàn)[D].上海交通大學，2009.