關于構建ISO27001信息安全管理體系的意義

胡榮鑫 劉艷

摘要：本文首先闡述了IS027001標準，接著分析了構建信息安全管理體系的意義，最后對ISO27001信息安全管理體系構建進行了探討。

關鍵詞：ISO27001;信息安全管理體系;意義

近年來，信息安全技術體系基本建設完成后，運營商面對信息安全管理存在的新問題和不足，開始開展和推進信息安全管理建設，希望能解決客戶信息泄露問題，惡意訂購業(yè)務、系統(tǒng)漏洞修復不及時、業(yè)務斷線事件頻發(fā)和應急響應遲緩、安全意識淡薄等嚴重問題。

安全管理體系的建設與實施，是任何一個企業(yè)都面臨的嶄新課題。如何規(guī)劃和設計安全管理體系，實施中存在問題，如何處理和規(guī)避這些問題，都是擺在企業(yè)面前迫切需要回答的疑點和問題。

1 IS027001標準

隨著全球信息化水平不斷提高，信息安全逐漸成為社會各界的關注重點。尤其是在近些年一系列信息安全問題被媒體曝光之后，各行各業(yè)均加大了對信息安全的擔憂。IS027001是國際標準化組織頒布的一套全面嚴謹?shù)男畔踩芾眢w系，旨在幫助各種類型和規(guī)模的組織實施并運行有效的信息安全管理，從而增強企業(yè)識別、防止、減少和控制組織信息安全風險的能力。IS027001信息安全管理體系由兩部分構成。第一部分是信息安全管理體系的實施指南，提供了一套綜合的由信息安全最佳慣例組成的實施規(guī)則，主要內容包括11個安全類別、39個控制目標、133項控制措施。第二部分是信息安全管理體系規(guī)范，詳細說明了建立、實施和維護信息安全管理體系的要求，指出實施機構應遵循的風險評估標準。

2構建信息安全管理體系的意義

2.1信息安全和風險管理是提升企業(yè)競爭力的重要條件

在信息時代，所有的企業(yè)，不論其規(guī)模、結構、性質或產業(yè)是什么，提供給用戶的各類服務，其前提條件一定要是安全的服務。因此，信息安全和風險管理都將是必不可少的。Is027001國際認證不僅僅是衡量組織信息安全管理水平的標準，也已經成為組織具有更高規(guī)范管理水平和競爭力的標志。比如，在軟件或集成電路等很多產業(yè)之間的競爭，已經發(fā)展成為價值鏈與價值鏈之間的競爭。如果我國企業(yè)沒有通過Is027001等國際標準認證的管理體系，其管理水平和國際競爭力將大打折扣，從而有可能錯失一些外包訂單或失去與國際大廠商合作的機會。反之，構建基于Is027001等國際標準的管理體系，將極大地提升中國企業(yè)的國際競爭力水平。

2.2信息風險安全管理能力成為影響技術合作的因素之一

加入WTO后，企業(yè)間的競爭日益激烈，信息安全已成為某些IT企業(yè)產品的組成部分，信息安全能力成為影響技術合作的因素之一，來自外部和內部的安全需求使得越來越多的IT企業(yè)把信息安全提到了一個新的高度。對于企業(yè)而言，風險和安全是一把“雙刃劍”，并不意味著都是“壞事”，有效的信息安全管理和風險管理也正在成為競爭優(yōu)勢的源泉。同時，隨著IT重要睦的增加和普遍應用，IT將被整合到所有的生產過程與經營管理體系中去。所以，IT的風險亦將顯著影響到企業(yè)的戰(zhàn)略執(zhí)行及目標的實現(xiàn)。在這種情況下，將風險管理與信息安全治理整合起來推動，就成為必然的選擇。

2.3基于IS027001的風險評估對組織建立信息安全管理體系起重要作用

目前各企業(yè)用于信息安全建設的投入比例越來越大，但對于這些投入的必要性和有效性一般沒有正式的評估，存在很大的盲目性，采用Is027001是對企業(yè)未來的一項投資，可以帶來一系列的益處。ISO27001要求組織在建立信息安全管理體系時，必須進行風險評估，對組織所面臨的信息安全風險進行等級排序?；陲L險評估的結果，制定必要的信息安全策略、管理方案和程序，選擇適當?shù)目刂品绞絹斫档瓦@些風險到可接受的水平。組織在確定控制目標和控制方式時，應該堅持花費和風險相平衡的原則。建立IsMs過程中采用系統(tǒng)方法，確保萬無一失，要求用戶識別信息安全要求，為信息安全管理建立方針、目標和程序，監(jiān)控IsMs的效率和效果，在目標測量的基礎上持續(xù)改進IsMs業(yè)績。

3 ISO27001信息安全管理體系構建分析

3.1 ISO27001信息安全管理體系構建思路

參考ISO27001標準，結合企業(yè)的信息管理需求與現(xiàn)狀，大致可以按照如下思路構建。第一是準備工作，通過管理層決策進行安全組織和人員配置，并對其展開宣傳培訓，為后期工作打下基礎。第二是構建框架，根據(jù)ISO27001信息安全體系框架，對管理體系和技術框架進行分析，得出相應的理論支撐基礎。第三是評估風險，按照信息安全的具體評估流程，通過風險分類和資產分類作出相應評估，以此為信息安全管理體系構建的數(shù)據(jù)基礎。第四是改善安全，將風險評估結合管理技術，得出科學合理的改善措施。第五是運行實施，按照之前得出的措施嚴格實施，對于已經建立的部分進行完善，并納入整體管理體系。第六是檢查改進，通過實施和運行信息安全管理體系，保證信息安全管理體系能夠正常運轉，并為企業(yè)提供可靠的信息安全保障。第七是運行改進，在信息安全管理體系運轉的過程中，不斷發(fā)現(xiàn)問題解決問題，逐步完善體系使其日益成熟穩(wěn)定。

3.2 ISO27001信息安全管理體系的實現(xiàn)

在明確構建思路之后，就需要進入到實際建設階段，將計劃付諸行動。實現(xiàn)ISO27001信息安全管理體系的構建，需要從多個步驟來進行。首先是在企業(yè)決策層樹立信息安全管理的基本概念，只有掌握企業(yè)未來方向的決策層能夠認識到信息安全管理的重要性和必要性，才能帶頭做好相關工作。其次是引進和開發(fā)先進的信息安全管理技術，實現(xiàn)相關技術的國產化，摒除國外技術可能存在的技術性后門，避免造成企業(yè)信息資料被竊取。再次構建對應的信息安全級別制度，即針對員工在企業(yè)中的不同部門以及不同職位，給予其不同的信息安全級別。級別越高，可獲取的信息資料范圍和機密程度也越高;級別越低，可獲取的信息資料范圍和機密程度也越低。最后是將構建思路的各步逐一實現(xiàn)，并將其與上述幾個方面進行結合，以此構建全方位的基于ISO27001下的信息安全管理體系，保證企業(yè)信息安全。

4結束語

在信息安全問題日益突出的現(xiàn)實背景下，加強信息安全管理體系的構建，具有極其重要的現(xiàn)實作用及未來意義。在ISO27001信息安全標準下，開發(fā)先進的技術，仔細評估信息安全風險，構建符合企業(yè)現(xiàn)階段情況與未來發(fā)展的信息安全管理體系。

參考文獻：

[1]胡靈娟.大型數(shù)據(jù)中心ISO27001信息安全管理體系貫標認證實踐[J].中國金融電腦.2016（05）.

[2]韓春梅.基于ISO27001標準的計算機化考試信息安全防護策略設計[J].中國考試.2013（05）.

[3]盧挺，陳多思，周亮，王亞春，徐羅羅.基于ISO27001的信息安全管理體系有效性測量與評價指標研究[J].電子商務.2016（02）.

（作者單位：中車大連機車車輛有限公司）