胡榮鑫 劉艷

摘要：本文首先闡述了IS027001標(biāo)準(zhǔn)，接著分析了構(gòu)建信息安全管理體系的意義，最后對ISO27001信息安全管理體系構(gòu)建進(jìn)行了探討。

關(guān)鍵詞：ISO27001;信息安全管理體系;意義

近年來，信息安全技術(shù)體系基本建設(shè)完成后，運(yùn)營商面對信息安全管理存在的新問題和不足，開始開展和推進(jìn)信息安全管理建設(shè)，希望能解決客戶信息泄露問題，惡意訂購業(yè)務(wù)、系統(tǒng)漏洞修復(fù)不及時(shí)、業(yè)務(wù)斷線事件頻發(fā)和應(yīng)急響應(yīng)遲緩、安全意識淡薄等嚴(yán)重問題。

安全管理體系的建設(shè)與實(shí)施，是任何一個(gè)企業(yè)都面臨的嶄新課題。如何規(guī)劃和設(shè)計(jì)安全管理體系，實(shí)施中存在問題，如何處理和規(guī)避這些問題，都是擺在企業(yè)面前迫切需要回答的疑點(diǎn)和問題。

1 IS027001標(biāo)準(zhǔn)

隨著全球信息化水平不斷提高，信息安全逐漸成為社會(huì)各界的關(guān)注重點(diǎn)。尤其是在近些年一系列信息安全問題被媒體曝光之后，各行各業(yè)均加大了對信息安全的擔(dān)憂。IS027001是國際標(biāo)準(zhǔn)化組織頒布的一套全面嚴(yán)謹(jǐn)?shù)男畔踩芾眢w系，旨在幫助各種類型和規(guī)模的組織實(shí)施并運(yùn)行有效的信息安全管理，從而增強(qiáng)企業(yè)識別、防止、減少和控制組織信息安全風(fēng)險(xiǎn)的能力。IS027001信息安全管理體系由兩部分構(gòu)成。第一部分是信息安全管理體系的實(shí)施指南，提供了一套綜合的由信息安全最佳慣例組成的實(shí)施規(guī)則，主要內(nèi)容包括11個(gè)安全類別、39個(gè)控制目標(biāo)、133項(xiàng)控制措施。第二部分是信息安全管理體系規(guī)范，詳細(xì)說明了建立、實(shí)施和維護(hù)信息安全管理體系的要求，指出實(shí)施機(jī)構(gòu)應(yīng)遵循的風(fēng)險(xiǎn)評估標(biāo)準(zhǔn)。

2構(gòu)建信息安全管理體系的意義

2.1信息安全和風(fēng)險(xiǎn)管理是提升企業(yè)競爭力的重要條件

在信息時(shí)代，所有的企業(yè)，不論其規(guī)模、結(jié)構(gòu)、性質(zhì)或產(chǎn)業(yè)是什么，提供給用戶的各類服務(wù)，其前提條件一定要是安全的服務(wù)。因此，信息安全和風(fēng)險(xiǎn)管理都將是必不可少的。Is027001國際認(rèn)證不僅僅是衡量組織信息安全管理水平的標(biāo)準(zhǔn)，也已經(jīng)成為組織具有更高規(guī)范管理水平和競爭力的標(biāo)志。比如，在軟件或集成電路等很多產(chǎn)業(yè)之間的競爭，已經(jīng)發(fā)展成為價(jià)值鏈與價(jià)值鏈之間的競爭。如果我國企業(yè)沒有通過Is027001等國際標(biāo)準(zhǔn)認(rèn)證的管理體系，其管理水平和國際競爭力將大打折扣，從而有可能錯(cuò)失一些外包訂單或失去與國際大廠商合作的機(jī)會(huì)。反之，構(gòu)建基于Is027001等國際標(biāo)準(zhǔn)的管理體系，將極大地提升中國企業(yè)的國際競爭力水平。

2.2信息風(fēng)險(xiǎn)安全管理能力成為影響技術(shù)合作的因素之一

加入WTO后，企業(yè)間的競爭日益激烈，信息安全已成為某些IT企業(yè)產(chǎn)品的組成部分，信息安全能力成為影響技術(shù)合作的因素之一，來自外部和內(nèi)部的安全需求使得越來越多的IT企業(yè)把信息安全提到了一個(gè)新的高度。對于企業(yè)而言，風(fēng)險(xiǎn)和安全是一把“雙刃劍”，并不意味著都是“壞事”，有效的信息安全管理和風(fēng)險(xiǎn)管理也正在成為競爭優(yōu)勢的源泉。同時(shí)，隨著IT重要睦的增加和普遍應(yīng)用，IT將被整合到所有的生產(chǎn)過程與經(jīng)營管理體系中去。所以，IT的風(fēng)險(xiǎn)亦將顯著影響到企業(yè)的戰(zhàn)略執(zhí)行及目標(biāo)的實(shí)現(xiàn)。在這種情況下，將風(fēng)險(xiǎn)管理與信息安全治理整合起來推動(dòng)，就成為必然的選擇。

2.3基于IS027001的風(fēng)險(xiǎn)評估對組織建立信息安全管理體系起重要作用

目前各企業(yè)用于信息安全建設(shè)的投入比例越來越大，但對于這些投入的必要性和有效性一般沒有正式的評估，存在很大的盲目性，采用Is027001是對企業(yè)未來的一項(xiàng)投資，可以帶來一系列的益處。ISO27001要求組織在建立信息安全管理體系時(shí)，必須進(jìn)行風(fēng)險(xiǎn)評估，對組織所面臨的信息安全風(fēng)險(xiǎn)進(jìn)行等級排序?；陲L(fēng)險(xiǎn)評估的結(jié)果，制定必要的信息安全策略、管理方案和程序，選擇適當(dāng)?shù)目刂品绞絹斫档瓦@些風(fēng)險(xiǎn)到可接受的水平。組織在確定控制目標(biāo)和控制方式時(shí)，應(yīng)該堅(jiān)持花費(fèi)和風(fēng)險(xiǎn)相平衡的原則。建立IsMs過程中采用系統(tǒng)方法，確保萬無一失，要求用戶識別信息安全要求，為信息安全管理建立方針、目標(biāo)和程序，監(jiān)控IsMs的效率和效果，在目標(biāo)測量的基礎(chǔ)上持續(xù)改進(jìn)IsMs業(yè)績。

3 ISO27001信息安全管理體系構(gòu)建分析

3.1 ISO27001信息安全管理體系構(gòu)建思路

參考ISO27001標(biāo)準(zhǔn)，結(jié)合企業(yè)的信息管理需求與現(xiàn)狀，大致可以按照如下思路構(gòu)建。第一是準(zhǔn)備工作，通過管理層決策進(jìn)行安全組織和人員配置，并對其展開宣傳培訓(xùn)，為后期工作打下基礎(chǔ)。第二是構(gòu)建框架，根據(jù)ISO27001信息安全體系框架，對管理體系和技術(shù)框架進(jìn)行分析，得出相應(yīng)的理論支撐基礎(chǔ)。第三是評估風(fēng)險(xiǎn)，按照信息安全的具體評估流程，通過風(fēng)險(xiǎn)分類和資產(chǎn)分類作出相應(yīng)評估，以此為信息安全管理體系構(gòu)建的數(shù)據(jù)基礎(chǔ)。第四是改善安全，將風(fēng)險(xiǎn)評估結(jié)合管理技術(shù)，得出科學(xué)合理的改善措施。第五是運(yùn)行實(shí)施，按照之前得出的措施嚴(yán)格實(shí)施，對于已經(jīng)建立的部分進(jìn)行完善，并納入整體管理體系。第六是檢查改進(jìn)，通過實(shí)施和運(yùn)行信息安全管理體系，保證信息安全管理體系能夠正常運(yùn)轉(zhuǎn)，并為企業(yè)提供可靠的信息安全保障。第七是運(yùn)行改進(jìn)，在信息安全管理體系運(yùn)轉(zhuǎn)的過程中，不斷發(fā)現(xiàn)問題解決問題，逐步完善體系使其日益成熟穩(wěn)定。

3.2 ISO27001信息安全管理體系的實(shí)現(xiàn)

在明確構(gòu)建思路之后，就需要進(jìn)入到實(shí)際建設(shè)階段，將計(jì)劃付諸行動(dòng)。實(shí)現(xiàn)ISO27001信息安全管理體系的構(gòu)建，需要從多個(gè)步驟來進(jìn)行。首先是在企業(yè)決策層樹立信息安全管理的基本概念，只有掌握企業(yè)未來方向的決策層能夠認(rèn)識到信息安全管理的重要性和必要性，才能帶頭做好相關(guān)工作。其次是引進(jìn)和開發(fā)先進(jìn)的信息安全管理技術(shù)，實(shí)現(xiàn)相關(guān)技術(shù)的國產(chǎn)化，摒除國外技術(shù)可能存在的技術(shù)性后門，避免造成企業(yè)信息資料被竊取。再次構(gòu)建對應(yīng)的信息安全級別制度，即針對員工在企業(yè)中的不同部門以及不同職位，給予其不同的信息安全級別。級別越高，可獲取的信息資料范圍和機(jī)密程度也越高;級別越低，可獲取的信息資料范圍和機(jī)密程度也越低。最后是將構(gòu)建思路的各步逐一實(shí)現(xiàn)，并將其與上述幾個(gè)方面進(jìn)行結(jié)合，以此構(gòu)建全方位的基于ISO27001下的信息安全管理體系，保證企業(yè)信息安全。

4結(jié)束語

在信息安全問題日益突出的現(xiàn)實(shí)背景下，加強(qiáng)信息安全管理體系的構(gòu)建，具有極其重要的現(xiàn)實(shí)作用及未來意義。在ISO27001信息安全標(biāo)準(zhǔn)下，開發(fā)先進(jìn)的技術(shù)，仔細(xì)評估信息安全風(fēng)險(xiǎn)，構(gòu)建符合企業(yè)現(xiàn)階段情況與未來發(fā)展的信息安全管理體系。

參考文獻(xiàn)：

[1]胡靈娟.大型數(shù)據(jù)中心ISO27001信息安全管理體系貫標(biāo)認(rèn)證實(shí)踐[J].中國金融電腦.2016（05）.

[2]韓春梅.基于ISO27001標(biāo)準(zhǔn)的計(jì)算機(jī)化考試信息安全防護(hù)策略設(shè)計(jì)[J].中國考試.2013（05）.

[3]盧挺，陳多思，周亮，王亞春，徐羅羅.基于ISO27001的信息安全管理體系有效性測量與評價(jià)指標(biāo)研究[J].電子商務(wù).2016（02）.

（作者單位：中車大連機(jī)車車輛有限公司）