淺淡核電企業(yè)ISMS建設(shè)

何新華，春增軍

（中科華核電技術(shù)研究院有限公司信息技術(shù)中心，廣東 深圳 518028）

0 引言

在信息化程度快速提高的今天，社會(huì)各組織或機(jī)構(gòu)的各類(lèi)業(yè)務(wù)越來(lái)越依賴(lài)于計(jì)算機(jī)、網(wǎng)絡(luò)和信息系統(tǒng)。然而，此類(lèi)信息資產(chǎn)卻遭受到來(lái)自組織機(jī)構(gòu)內(nèi)部和外部的各種威脅。一旦信息資產(chǎn)遭到破壞，必將產(chǎn)生不良后果。核電作為一種特殊的清潔型能源，保護(hù)信息系統(tǒng)安全，確保信息的機(jī)密性、完整性和可用性，使之健康平穩(wěn)運(yùn)行是十分重要的。為了防止信息安全事件的發(fā)生，通行的做法是通過(guò)部署防火墻、入侵檢測(cè)/入侵防范系統(tǒng)、防病毒系統(tǒng)、上網(wǎng)行為管理系統(tǒng)等進(jìn)行防范。然而，此類(lèi)技術(shù)手段，卻無(wú)法阻止人因失效所導(dǎo)致的破壞。只有全面提高人員的信息安全意識(shí)，將信息安全管理納入到組織或機(jī)構(gòu)的管理體系框架內(nèi)，建立健全各類(lèi)信息安全規(guī)章制度，將技術(shù)手段與管理手段相結(jié)合，才能有效地杜絕信息安全事件的發(fā)生，保障組織或機(jī)構(gòu)各項(xiàng)業(yè)務(wù)的有效開(kāi)展。

1 核安全文化簡(jiǎn)介

1.1 核安全文化的起源

核電站的“安全文化”是國(guó)際核能界在三里島和切爾諾貝利事故后，結(jié)合“企業(yè)文化”的管理思想，提出的這一新的安全管理思想和原則。它是傳統(tǒng)的縱深防御原則的擴(kuò)充，也是安全管理思想的一次重大變革。大亞灣核電站從運(yùn)行初期安全管理制度就是建立在“縱深防御”和“程序管理”的安全管理思想上的，即認(rèn)為設(shè)備、人和管理都是可能出現(xiàn)失效的，為把這種失效的可能性減為最小，除提高設(shè)備質(zhì)量、人員素質(zhì)和改進(jìn)管理外，還必須采取一系列的防范措施，即預(yù)防、監(jiān)督和在萬(wàn)一出現(xiàn)失效時(shí)必要的響應(yīng)對(duì)策。

1.2 核安全文化的特點(diǎn)

核安全文化強(qiáng)調(diào)四個(gè)“凡事”，即：凡事有章可循、凡事有人負(fù)責(zé)、凡事有據(jù)可查、凡事有人監(jiān)督[1]。

①凡事有章可循，指所做的工作、所要求的內(nèi)容和建立的管理制度要落實(shí)到明確規(guī)定和文件，形成實(shí)實(shí)在在的制度文件；

②凡事有人負(fù)責(zé)，指要在現(xiàn)有業(yè)務(wù)部門(mén)結(jié)構(gòu)的基礎(chǔ)上建立起安全管理的組織結(jié)構(gòu)和組織人員，對(duì)各個(gè)部門(mén)和崗位建立明確安全職責(zé)，確保每項(xiàng)工作都能夠找到明確的負(fù)責(zé)人；

③凡事有據(jù)可查，指所做的各項(xiàng)工作和操作都需要形成記錄；

④凡事有人監(jiān)督，指要建立起完善的監(jiān)督、檢查和審計(jì)機(jī)制，制定明確的監(jiān)督人員、崗位，制定詳細(xì)的監(jiān)督、檢查和審計(jì)內(nèi)容。

2 核安全文化與信息安全相結(jié)合

核電企業(yè)始終堅(jiān)持“安全第一，質(zhì)量第一，追求卓越”的方針。信息技術(shù)在核電企業(yè)內(nèi)部的應(yīng)用不斷深化，信息系統(tǒng)安全、穩(wěn)定運(yùn)行關(guān)系到核電業(yè)務(wù)的開(kāi)展。信息安全工作已經(jīng)成為保障核安全的有機(jī)組成部分。

核安全文化中倡導(dǎo)的“縱深防御”原則在信息安全領(lǐng)域很早就被提出過(guò)。美國(guó)國(guó)家安全局制定的 IATF中最早提出了縱深防御，也稱(chēng)作“深度防護(hù)(Defense-in-Depth)”的策略。IATF強(qiáng)調(diào)人、技術(shù)、操作這三個(gè)核心原則，關(guān)注四個(gè)信息安全保障領(lǐng)域：保護(hù)網(wǎng)絡(luò)和基礎(chǔ)設(shè)施、保護(hù)邊界、保護(hù)計(jì)算環(huán)境、支撐基礎(chǔ)設(shè)施。

建立完善的信息安全保障體系不僅是核電企業(yè)為保障信息技術(shù)安全的需求，同時(shí)也是符合核電行業(yè)的核安全需求的。

3 信息安全管理體系簡(jiǎn)介

3.1 ISO 27001標(biāo)準(zhǔn)簡(jiǎn)介

ISO 27001信息安全管理體系標(biāo)準(zhǔn)來(lái)源于英國(guó)標(biāo)準(zhǔn)協(xié)會(huì)于1995年2月制定的信息安全管理標(biāo)準(zhǔn)BS7799，于2005年被國(guó)際標(biāo)準(zhǔn)化組織吸納，形成《ISO/IEC 27001:2005信息安全技術(shù)信息安全管理體系要求》國(guó)際標(biāo)準(zhǔn)。

ISO 27001標(biāo)準(zhǔn)定義了建立信息安全管理體系的基本要求和方法，此標(biāo)準(zhǔn)的設(shè)計(jì)在于確保在組織中建立恰當(dāng)而有效的控制措施，通過(guò)有效的控制措施來(lái)保護(hù)組織的信息資產(chǎn)安全，確保信息資產(chǎn)的機(jī)密性、完整性和有效性。采用過(guò)程化方法來(lái)建立、實(shí)施、運(yùn)行監(jiān)控和評(píng)審信息安全管理體系，以保持 ISMS體系的正常平穩(wěn)有效運(yùn)行，并進(jìn)行持續(xù)優(yōu)化與改進(jìn)，以不斷提高組織的信息安全管理水平[2]。

ISO 27001信息安全管理體系主要分為 11個(gè)安全域，包含133個(gè)控制項(xiàng)。11個(gè)域?yàn)樾畔踩结?、信息安全組織、資產(chǎn)管理、人力資源安全、通訊和操作安全、信息系統(tǒng)獲取開(kāi)發(fā)和維護(hù)、訪問(wèn)控制、信息安全事故管理、業(yè)務(wù)連續(xù)性管理和符合性。

3.2 ISMS體系建設(shè)最佳實(shí)踐模型簡(jiǎn)介

在對(duì)ISO 27001信息安全管理體系標(biāo)準(zhǔn)的拓展中，韓國(guó)推行的信息安全管理體系模型較為典型。通過(guò)對(duì)一個(gè)團(tuán)體與外部合作伙伴間的合作安全性、加強(qiáng)對(duì)全體員工及相關(guān)方的信息安全意識(shí)與信息安全技術(shù)的培訓(xùn)工作、加強(qiáng)帳號(hào)密碼的使用管理與密碼產(chǎn)品的安全性要求和對(duì)信息系統(tǒng)的安全審計(jì)監(jiān)督與檢查工作,把 ISO 27001信息安全管理體系標(biāo)準(zhǔn)的11個(gè)安全域拓展成15個(gè)安全域。 15個(gè)域?yàn)樾畔踩结?、信息安全組織、資產(chǎn)管理、人力資源安全、外部合作伙伴的安全、物理和環(huán)境安全、通訊和操作安全、信息系統(tǒng)獲取開(kāi)發(fā)和維護(hù)、業(yè)務(wù)連續(xù)性管理、加密控制、信息安全事故管理、訪問(wèn)控制、檢查/監(jiān)督/審計(jì)、信息安全教育和培訓(xùn)、符合性。

韓國(guó)國(guó)家推行的包含15個(gè)域的信息安全管理體系模型，是國(guó)際原子能機(jī)構(gòu)推薦的核機(jī)構(gòu)和核行業(yè)的信息安全管理最佳實(shí)踐。

4 信息安全管理體系建設(shè)過(guò)程

ISMS信息安全管理體系的建立是基于PDCA模型[3],其中P（Plan）即規(guī)劃，建立與管理風(fēng)險(xiǎn)和改進(jìn)信息安全有關(guān)的信息安全管理體系方針、目標(biāo)、過(guò)程和程序，提供與組織整體策略方針和目標(biāo)相一致的結(jié)果；D（Do）即實(shí)施，實(shí)施和運(yùn)行 ISMS方針、控制措施、過(guò)程和規(guī)程；C（Check）即檢查，對(duì)照 ISMS方針、目標(biāo)和實(shí)踐經(jīng)驗(yàn)，評(píng)估并在適當(dāng)時(shí)測(cè)量過(guò)程的執(zhí)行情況，并將結(jié)果報(bào)告管理者以供評(píng)審；A（ACT）即處置，基于 ISMS內(nèi)部審核和管理評(píng)審的結(jié)果或者其他相關(guān)信息，采取糾正和預(yù)防措施，以持續(xù)改進(jìn)ISMS。

ISMS信息安全管理體系建設(shè)過(guò)程的整個(gè)生命周期可以分為現(xiàn)狀調(diào)研階段、資產(chǎn)識(shí)別與風(fēng)險(xiǎn)評(píng)估階段、架構(gòu)設(shè)計(jì)階段、總體規(guī)劃階段、體系建立階段、體系試運(yùn)行階段、體系認(rèn)證階段、體系維護(hù)與改進(jìn)階段。

4.1 現(xiàn)狀調(diào)研階段

現(xiàn)狀調(diào)研階段的主要工作是對(duì)組織的信息安全管理相關(guān)政策、制度和規(guī)范、業(yè)務(wù)特征或服務(wù)、現(xiàn)有的組織情況、網(wǎng)絡(luò)信息與配置、日常操作與管理等內(nèi)容進(jìn)行調(diào)查，以了解組織業(yè)務(wù)，挖掘組織中存在的安全問(wèn)題，分析組織內(nèi)可能存在的信息安全風(fēng)險(xiǎn)，參照相關(guān)標(biāo)準(zhǔn)給出差距分析報(bào)告。可以采用文件審核、問(wèn)卷調(diào)查、技術(shù)工具評(píng)估及現(xiàn)場(chǎng)訪談等方式進(jìn)行。

差距分析是建立實(shí)施 ISMS體系的重要環(huán)節(jié)，調(diào)研人員需要針對(duì)一個(gè)組織的特點(diǎn)與現(xiàn)狀，制定明確的調(diào)研目標(biāo)，精心編制訪談提綱，制定調(diào)查問(wèn)卷與合理安排調(diào)研時(shí)間。針對(duì)不同的調(diào)研對(duì)象，設(shè)定不同的調(diào)研側(cè)重點(diǎn)。

4.2 資產(chǎn)識(shí)別與風(fēng)險(xiǎn)評(píng)估階段

4.2.1 信息資產(chǎn)識(shí)別

深入了解并識(shí)別出一個(gè)組織的所有信息資產(chǎn)是開(kāi)展風(fēng)險(xiǎn)評(píng)估工作的先提條件。在進(jìn)行信息資產(chǎn)識(shí)別時(shí)，可以按應(yīng)用系統(tǒng)資產(chǎn)組、非應(yīng)用系統(tǒng)資產(chǎn)組和非系統(tǒng)資產(chǎn)組進(jìn)行分類(lèi)識(shí)別與匯總。其中，應(yīng)用系統(tǒng)資產(chǎn)組以組織內(nèi)部的應(yīng)用系統(tǒng)為依據(jù)，由與系統(tǒng)相關(guān)的硬件、軟件、系統(tǒng)配置信息、系統(tǒng)權(quán)限信息、系統(tǒng)開(kāi)發(fā)人員、系統(tǒng)維護(hù)人員等信息組成本；非系統(tǒng)資產(chǎn)組以為應(yīng)用系統(tǒng)和組織內(nèi)部運(yùn)行提供支持功能的設(shè)備組成；非系統(tǒng)資產(chǎn)組由辦公設(shè)備、文檔、人員、環(huán)境設(shè)施、服務(wù)、無(wú)形資產(chǎn)等組成。

信息資產(chǎn)采集后，可根據(jù)信息資產(chǎn)在機(jī)密性、完整性和可用性三個(gè)方面所表現(xiàn)出的不同重要程序，按5（非常高）、4（高）、3（中）、2（低）、1（可忽略）五個(gè)級(jí)別對(duì)信息資產(chǎn)進(jìn)行賦值，評(píng)估信息資產(chǎn)的價(jià)值。 資產(chǎn)價(jià)值的大小不僅需要考慮其自身的價(jià)值，還需要考慮其業(yè)務(wù)的相關(guān)性和一定條件下的潛在價(jià)值。

4.2.2 風(fēng)險(xiǎn)評(píng)估

風(fēng)險(xiǎn)評(píng)估工作可從信息資產(chǎn)風(fēng)險(xiǎn)評(píng)估、業(yè)務(wù)流程評(píng)估、人員帳號(hào)評(píng)估、應(yīng)用系統(tǒng)評(píng)估幾個(gè)維度進(jìn)行。

(1)信息資產(chǎn)風(fēng)險(xiǎn)評(píng)估

信息資產(chǎn)識(shí)別是開(kāi)展信息資產(chǎn)風(fēng)險(xiǎn)評(píng)估的基礎(chǔ)，識(shí)別出信息資產(chǎn)自身包含的脆弱性與潛在風(fēng)險(xiǎn)。在條件具備的情況下，可構(gòu)建結(jié)合自身實(shí)際的風(fēng)險(xiǎn)評(píng)估管理模型[4]。威脅識(shí)別可以參考國(guó)信辦發(fā)布的《信息安全風(fēng)險(xiǎn)評(píng)估指南》中的要求和威脅來(lái)源，結(jié)合組織的具體情況進(jìn)行。脆弱性評(píng)估可以以資產(chǎn)為核心，識(shí)別出可能被威脅所利用的脆弱性，并對(duì)脆弱性的嚴(yán)重程度進(jìn)行評(píng)估。對(duì)應(yīng)用在不同環(huán)境中的相同的弱點(diǎn)，其嚴(yán)重程度可能是不一樣，評(píng)估者應(yīng)從組織安全策略的角度考慮，判斷資產(chǎn)的脆弱性和嚴(yán)重程度。信息系統(tǒng)所采用的通信協(xié)議，與其它網(wǎng)絡(luò)的互聯(lián)等因素均應(yīng)考慮在內(nèi)。脆弱性收集可以采用問(wèn)卷調(diào)查、訪談、工具掃描、手動(dòng)檢查、文檔審查、滲透測(cè)試等手段。

(2)應(yīng)用流程評(píng)估

流程評(píng)估可以從流程的價(jià)值特性、操作特性、控制特性和保障特性四個(gè)方面進(jìn)行評(píng)估。

流程的價(jià)值特性評(píng)估可以從是否具有明確的流程目標(biāo)，流程是否與企業(yè)的戰(zhàn)略目標(biāo)相協(xié)調(diào)，流程所涉及到的所有者、管理者及參與者是否有明確的界定及職責(zé)劃分等方面進(jìn)行。

流程的操作特性評(píng)估可以從流程設(shè)計(jì)是否合理，流程規(guī)則是否清晰，流程操作程序是否規(guī)范化，流程的輸入輸出及反饋信息是否有效，是否合理使用信息資源等方面進(jìn)行。

流程的控制特性評(píng)估可以從是否采用必要的管理控制手段來(lái)保證流程的合法性，是否采用了必要的技術(shù)手段來(lái)保證流程運(yùn)轉(zhuǎn)的安全和效率，是否滿(mǎn)足流程建模中定義的關(guān)鍵控制點(diǎn)的要求，流程是否在人員技術(shù)和管理上考慮異常處置方式和流程的合規(guī)性等方面進(jìn)行。

流程的保障特性評(píng)估可以從是否建立完備的測(cè)量指標(biāo)并進(jìn)了階段性的測(cè)量，是否建立了相應(yīng)的問(wèn)責(zé)制和是否有持續(xù)優(yōu)化機(jī)制等方面進(jìn)行。

(3)人員帳號(hào)評(píng)估

人員帳號(hào)評(píng)估可以從對(duì)人資部門(mén)、合法員工和系統(tǒng)管理員等方面進(jìn)行評(píng)估。

對(duì)人資部門(mén)的評(píng)估中，需要考慮人資部門(mén)是否參與系統(tǒng)帳號(hào)與員工個(gè)人帳號(hào)的審批工作，系統(tǒng)權(quán)限的開(kāi)通流程是否有流轉(zhuǎn)單，外來(lái)人員帳號(hào)權(quán)限開(kāi)通與變更流程，員工轉(zhuǎn)崗或離辭帳號(hào)權(quán)限變更流程，是否有帳號(hào)定期檢查機(jī)制，是否有統(tǒng)一的系統(tǒng)授權(quán)機(jī)制等。

對(duì)合法員工的人員帳號(hào)評(píng)估中，應(yīng)考慮員工入職、變崗、離辭情形下的系統(tǒng)授權(quán)與變更情況，相關(guān)審批記錄，員工帳號(hào)口令的復(fù)雜度及更改周期，員工電腦共享目錄開(kāi)放情況等。

對(duì)系統(tǒng)管理員進(jìn)行的人員帳號(hào)評(píng)估中，應(yīng)考慮到對(duì)合法員工授權(quán)與變更審批流程、外來(lái)人員系統(tǒng)授權(quán)與變更流程、系統(tǒng)帳號(hào)與人事系統(tǒng)中的帳號(hào)的對(duì)應(yīng)關(guān)系、帳號(hào)權(quán)限分配流程與權(quán)限變更流程、是否建立系統(tǒng)帳號(hào)及相應(yīng)的權(quán)限分配清單、系統(tǒng)帳號(hào)分配與刪除流程、是否有帳號(hào)定期檢查制度、共用帳號(hào)的權(quán)限使用與密碼管理策略、是否有系統(tǒng)默認(rèn)帳號(hào)的存在等。

(4)應(yīng)用系統(tǒng)評(píng)估

應(yīng)用系統(tǒng)評(píng)估可以從系統(tǒng)開(kāi)發(fā)部署與運(yùn)行管理、身份鑒別[5]、訪問(wèn)控制、交易安全、數(shù)據(jù)保密性、數(shù)據(jù)完整性、系統(tǒng)完整性、數(shù)據(jù)導(dǎo)入導(dǎo)出、剩余信息處理、密碼安全、輸入輸出合法性、異常處理、備份與故障恢復(fù)、日志與審計(jì)、系統(tǒng)容量規(guī)劃與可用性管理等方面進(jìn)行。

4.3 架構(gòu)設(shè)計(jì)階段

架構(gòu)設(shè)計(jì)階段可以考慮從安全策略保障體系、安全組織保障體系、安全運(yùn)行保障體系、安全技術(shù)保障體系、應(yīng)急恢復(fù)保障體系、保密體系等方面構(gòu)建組織的信息安全總體架構(gòu)。

安全策略保障體系包括建立組織的信息安全方針與策略，明確管理層對(duì)信息安全的期望與承諾，描述對(duì)組織的信息資產(chǎn)進(jìn)行有效管理的方法，規(guī)定人員安全操作的流程與規(guī)范，制定系統(tǒng)配置規(guī)格、使用策略等。

安全組織保障體系包括建立完成組織安全目標(biāo)的組織機(jī)構(gòu)，包括跨部門(mén)的信息安全管理委員會(huì)、安全工作小組、第三方安全服務(wù)組織等。

安全運(yùn)行保障體系包括建立日常安全運(yùn)行與維護(hù)機(jī)制，包括生產(chǎn)調(diào)度、運(yùn)行監(jiān)控、問(wèn)題處理、變更管理。重點(diǎn)是建立生產(chǎn)運(yùn)行問(wèn)題處理機(jī)制，形成完善的運(yùn)行保障機(jī)制，及時(shí)、準(zhǔn)確、快速地處理生產(chǎn)問(wèn)題，強(qiáng)調(diào)執(zhí)行過(guò)程安全。

安全技術(shù)保障體系包括應(yīng)用先進(jìn)成熟的技術(shù)手段與產(chǎn)品，降低安全風(fēng)險(xiǎn)，包括安全產(chǎn)品的購(gòu)置與配置加固、防病毒、加強(qiáng)安全域和網(wǎng)絡(luò)訪問(wèn)控制，統(tǒng)一監(jiān)控管理平臺(tái)、統(tǒng)一身份認(rèn)證與授權(quán)管理平臺(tái)等。

應(yīng)急恢復(fù)保障體系包括業(yè)務(wù)持續(xù)性計(jì)劃及災(zāi)難恢復(fù)規(guī)劃的實(shí)施，包括建立數(shù)據(jù)災(zāi)難備份中心，各個(gè)業(yè)務(wù)系統(tǒng)及IT系統(tǒng)的應(yīng)急方案，其目標(biāo)是控制事態(tài)發(fā)展，保障生命財(cái)產(chǎn)安全，恢復(fù)正常生產(chǎn)運(yùn)行狀態(tài)。

4.4 總體規(guī)劃階段

總是體規(guī)劃報(bào)告將明確組織未來(lái)信息安全建設(shè)的總體方向，規(guī)劃出組織未來(lái)一段時(shí)期內(nèi)的信息安全建設(shè)工作，如建立實(shí)施 ISMS體系、實(shí)施網(wǎng)絡(luò)安全域的劃分、完善信息安全組織架構(gòu)、安全運(yùn)維評(píng)估與檢查、建立安全運(yùn)行中心、建立業(yè)務(wù)連續(xù)性和應(yīng)急體系、完善設(shè)備淘汰機(jī)制、加強(qiáng)系統(tǒng)帳號(hào)管理、信息資產(chǎn)管理、加強(qiáng)服務(wù)器安全、實(shí)施 IT審計(jì)、系統(tǒng)高可用性改造、域策略安全優(yōu)化、實(shí)施軟件開(kāi)發(fā)安全、加強(qiáng)人力資源安全管理等。

通過(guò)對(duì)信息安全總體規(guī)劃的實(shí)施，可以逐步改變組織的信息安全現(xiàn)狀，為未來(lái)組織的信息系統(tǒng)的平穩(wěn)運(yùn)行和業(yè)務(wù)的持續(xù)開(kāi)展提供強(qiáng)有力的安全保障。

4.5 體系建立階段

ISMS是實(shí)施信息安全管理所必需的結(jié)構(gòu)、規(guī)則、過(guò)程和資源等因素所組成的有機(jī)總體。

建立ISMS的過(guò)程應(yīng)當(dāng)以風(fēng)險(xiǎn)管理為基礎(chǔ)，通過(guò)建立一整套文件化的管理制度，包括方針、策略、程序文件、操作手冊(cè)、記錄等。

體系文件可以按三個(gè)層級(jí)關(guān)系進(jìn)行組編，其中：

① 一級(jí)文件包括組織的信息安全方針和策略等文件，是整個(gè)體系的綱領(lǐng)性文件；

② 二級(jí)文件的旨在規(guī)范和組織信息安全管理體系的建立與維護(hù)有關(guān)的活動(dòng)，主要有體系審核、管理評(píng)審、文件和記錄控制、持續(xù)改進(jìn)等文件；

③ 三級(jí)文件是依據(jù)一、二級(jí)文件提出的信息安全管理要求所制訂的信息安全管理文件，邏輯上從高到低分為“規(guī)定”、“程序”兩個(gè)層次。

體系文件應(yīng)涵蓋ISO 27001標(biāo)準(zhǔn)的133個(gè)控制項(xiàng)，對(duì)于不適用于組織的控制項(xiàng)，應(yīng)在《適用性聲明》文件中加以說(shuō)明。

4.6 體系試運(yùn)行階段

ISMS體系建立后，需要對(duì)體系建立階段編制的體系文件進(jìn)行發(fā)布，對(duì)ISMS體系的15個(gè)域和133個(gè)控制項(xiàng)的控制措施進(jìn)行落實(shí)、檢查與監(jiān)督，進(jìn)入ISMS體系試運(yùn)行階段。

制定合理有效的體系試運(yùn)行計(jì)劃、規(guī)劃試?yán)蠈?shí)巴交中的工作重點(diǎn)、成立體系試運(yùn)行工作小組和內(nèi)審小組、領(lǐng)導(dǎo)及全體員工的積極參與和配合是體系試運(yùn)行工作取得成功的關(guān)鍵。

在體系試運(yùn)行階段，通過(guò)制作宣傳畫(huà)報(bào)、進(jìn)行信息安全意識(shí)培訓(xùn)、體系文件宣貫等方式，使全體員工充分了解ISMS體系是一個(gè)很重要的工作環(huán)節(jié)。

采取糾正預(yù)防措施整改工作書(shū)，將在體系試運(yùn)行階段發(fā)現(xiàn)的不足之處以書(shū)面的方式下發(fā)到各個(gè)部門(mén)，責(zé)令限期整改，并安全專(zhuān)人進(jìn)行輔導(dǎo)與監(jiān)督，是體系得以落實(shí)的一個(gè)較為有效的手段。

在體系統(tǒng)試運(yùn)行階段，可以綜合開(kāi)展ISMS體系和體系文件宣貫、信息安全意識(shí)培訓(xùn)、落實(shí)控制措施、進(jìn)行風(fēng)險(xiǎn)處置、檢查與改進(jìn)、控制措施有效性測(cè)量、管理系統(tǒng)改進(jìn)與優(yōu)化、內(nèi)審、管理評(píng)審、準(zhǔn)備ISMS體系認(rèn)證等工作。

4.7 體系認(rèn)證階段

體系試運(yùn)行結(jié)束后，組織可向具有體系認(rèn)證資質(zhì)的第三方外部審核機(jī)構(gòu)申請(qǐng)?bào)w系認(rèn)證。體系認(rèn)證工作分為預(yù)審和正審二階段。全部通過(guò)后，組織可獲得ISMS體系認(rèn)證證書(shū)。

4.8 體系維護(hù)階段

由于組織信息系統(tǒng)所處的內(nèi)外環(huán)境的變化，信息資產(chǎn)所面臨的風(fēng)險(xiǎn)也在不斷的發(fā)生變化，將組織所面臨的風(fēng)險(xiǎn)控制在組織可接受的水平，保持 ISMS體系有效平穩(wěn)運(yùn)行，并持續(xù)改進(jìn)是十分重要的。ISMS體系保持與持續(xù)優(yōu)化工作應(yīng)以信息資產(chǎn)風(fēng)險(xiǎn)評(píng)估為主線(xiàn)，結(jié)合內(nèi)審、管理評(píng)審和外部審核機(jī)構(gòu)復(fù)審等工作進(jìn)行。

5 結(jié)語(yǔ)

隨著信息技術(shù)的發(fā)展和各類(lèi)網(wǎng)絡(luò)安全事件所產(chǎn)生的破壞性，各行各業(yè)對(duì)網(wǎng)絡(luò)與信息安全的重視程度日益提升。引進(jìn)國(guó)際先進(jìn)的信息安全管理理念，借簽各行各業(yè)的成功經(jīng)驗(yàn)，構(gòu)建切合自身實(shí)際的 ISMS體系成為當(dāng)務(wù)之急。通過(guò)對(duì)ISMS體系建設(shè)幾個(gè)階段中所涉及的方法、手段、關(guān)注點(diǎn)等進(jìn)行闡述，有助于核電企業(yè)構(gòu)建有效的 ISMS體系。然而，如何將信息安全管理體系標(biāo)準(zhǔn)與信息系統(tǒng)等級(jí)保護(hù)要求、ISO 20000標(biāo)準(zhǔn)等進(jìn)行有效融合，從而構(gòu)建更有效的ISMS體系還有待于進(jìn)一步的研究。

[1] 李達(dá).核安全文化與信息安全的結(jié)合[EB/OL].（2009-06-22）[2010-03-20]. http://sec.chinabyte.com/4/8915504.shtml.

[2] 春增軍.基于ISO27001的企業(yè)信息安全保障體系的構(gòu)建設(shè)想[J].情報(bào)雜志，2009,28(05):155-162.

[3] 中國(guó)國(guó)家標(biāo)準(zhǔn)化管理委員會(huì).GBT-22080-2008 信息技術(shù)-安全技術(shù)-信息安全管理體系-要求[S].北京：中國(guó)標(biāo)準(zhǔn)出版社，2008.

[4] 周權(quán).基于代數(shù)方法的信息安全風(fēng)險(xiǎn)評(píng)估管理模型[J].通信技術(shù)，2008，41（07）：193-195.

[5] 任偉，劉嘉勇，熊智.一種基于指紋的遠(yuǎn)程雙向身份鑒別方案[J].通信技術(shù)，2009，42（11）：124-126.