摘要：随着信息化的迅速发展，信息化技术在企业中的应用日益普及，但在信息化技术的应用在极大的提高了企业工作效率和效益的同时，也带来了信息化安全的困扰，信息系统多、分布广、结构复杂、新技术应用多等原因导致信息安全建设成为企业面临的难题和挑战。本文通过对企业信息安全现状存在的问题进行分析，引入了ISO/IEC 27000系列标准与信息安全等级保护系列标准，进一步分析出企业基于ISO/IEC 27001信息安全管理体系的过程，并简要分析建设过程的难点以及如何融合信息安全等级保护系列标准以减少其难度。

关键词：信息安全；管理；体系；ISMS；建设

1 前言

我们身处信息时代，计算机和网络已经成为各类组织不可或缺的工具，信息成为企业赖以生存的重要资产，其价值与日俱增，与此同时也面临各种各样、越来越多的安全威胁。病毒破坏、黑客攻击、网络欺诈、重要信息资料丢失、信息系统瘫痪以及利用计算机网络实施的各种犯罪行为层出不穷、防不胜防。信息资产一旦遭到破坏，将给企业带来直接的经济损失，并导致企业的声誉和公众形象受到损害，使企业丧失市场机会和竞争力，甚至威胁企业的生存。因此，企业必须解决信息安全问题，有效保护信息资产。而如何建设高级别的信息安全保障能力是众多企业迫切需要解决的问题。

2 企业现状分析

近些年来，随着信息化的急速发展，国内多次暴露的信息安全事件泄密、系统遭受入侵等安全事件都在刺激着中国国内企业对信息安全的建设。在信息安全建设上投入了大量的人力物力，但对于信息安全建设过程中往往存在以下问题：

（1） 企业一般会跟随市场或听从个别厂家的建议，对自身的实际需求以及整体、长远的信息安全规划缺乏考虑。

（2） 企业会更注重于IT基础设施的安全建设，对于业务、应用以及信息化数据考虑较少，因此对业务的安全保障和业务促进作用有限。

（3） 安全建设方案大多是各自设计和制定，不能保证整体的兼容性、互操作性以及最终目标的一致性。

（4） 购买和部署大量安全终端，但不能有效的整合并利用。

出现以上问题主要原因：企业投入信息安全建设时缺乏有效的方法把握全局性的信息安全建设；安全建设与企业实际情况匹配度低；安全建设缺乏科学规划；缺乏有效测量手段促进安全保障能力的提升。因此本文旨在通过研究相关权威标准，探讨如何建立一套适合企业自身发展需求的信息安全管理体系（ISMS, Information Security Management System）。

3 标准介绍

目前，国内比较权威的信息安全标准主要是ISO/IEC 27000系列标准和信息安全等级保护标准。下面将简单介绍这两个标准。

3.1 ISO/IEC 27000系列标准

ISO/IEC 27000系列标准是国际化组织为信息安全管理体系制定的一套标准，27000系列共包含10个标准。ISO/IEC 27001作为组织建立ISMS的基本标准，是ISO/IEC27000系列标准中的核心。ISO/IEC27002是最佳实践的集合，前身分别为BS7799-2和BS779-l，是英国标准协会(BSI)于1995年颁布的针对信息安全管理制定的标准。BS7799最初由英国贸工部(DTI)立项，经业界、和商业机构共同倡导，旨在开发一套可供开发、实施和测量有效信息安全管理惯例并提供贸易伙伴间信任的通用框架。

ISO/IEC 27001类似于ISO9000系列中的ISO9001，强调ISMS的构建和基于PDCA模型的不断循环和改善，如图1。安全模型主要建立在风险管理的基础上，通过风险分析的方法，使信息风险发生概率和后果降低到可接受水平，并采取相应措施保证业务不会因安全事件的发生而中断。这个标准中安全管理体系框架构建过程就是宏观上指导整个项目实施的过程。

图1

ISO/IEC 27002则给出了11类需要进行控制的部分：安全策略、安全组织、资产分类与控制、个人信息安全、物理和环境安全、通信和操作安全、访问控制、系统的开发和维护、商业持续规划、合法性要求等方面的安全风险评估和控制，以及133项控制细则。

3.2 信息安全等级保护

信息安全等级保护制度是国家为了提高信息安全保障能力和水平、维护、社会稳定和公共利益、保障和促进信息化健康发展的一项基本制度，最早起源于1994年我国颁布的《中华人民共和国计算机信息系统安全保护条例》，核心标准《GB17859-1999计算机信息系统安全保护等级划分准则》在1999年9月13日由国家质量技术监督局发布，2001年1月1日起实施。GB17859吸取了TCSEC分等级保护的基本思想，根据我国信息安全的需要进行了改进和完善，把安全等级精简为更具可操作性的五个等级。

其中《信息系统安全等级保护实施指南》同样包含PDCA的思想，更多强调的是以单个的信息系统生命周期来贯穿安全管理，见图2，通过系统的定级后规划相应的信息安全等级保护水平，通过运维改进信息安全规划水平直至系统终止。

图2

《GB/T 22239-2008信息系统安全等级保护基本要求》将信息安全控制要求分为技术要求和管理要求两大类。技术要求为物理安全、网络安全、主机安全、应用安全、数据安全及备份恢复。管理要求分为安全管理制度、安全管理机构、人员安全管理、系统建设管理。同时，信息安全等级保护系列标准还具备《GB/T 20270-2006网络基础安全技术要求》、《GB/T 20271-2006信息系统安全通用要求》等细则方面的具体指导要求。

通过两套标准的介绍对比不难发现，虽然ISO/IEC 27000系列标准与信息安全等级保护系列标准都是为了保障信息安全，但两套标准的产生背景、实施流程、标准的涵盖范围及侧重点都略有不同。因此结合两套体系的标准，建立一套信息安全管理体系不仅可以灵活应对各方的检查，满足各方的要求，也可以取长补短，进一步的保障企业的信息安全。

4 ISMS建设整体思路

ISMS的构建思路依据ISO 27001要求，将PDCA持续改进的信息安全管理模型作为体系建设过程的主要指导思想（见图3）以保证整个体系可以不断的改进和循环。

图3

4.1 建立ISMS

（1） 建立前准备工作

建立一套适用于企业的ISMS体系，首先需从风险控制、效率、业务优势三个方面定义ISMS的目标。即如何更好的控制信息安全风险、如何提高处理信息安全带的效率和如何创造业务优势。同时对管理目标例如以企业实例来考虑如何提高业务连续性、灾难恢复效率、事故的恢复力等进行分析考虑。

定义ISMS目标后，须定义ISMS的初始范围，明确ISMS建立过程中的相关角色和职责。对于定义这些角色职责应结合企业实际进行考虑，角色的人员数量与结构复杂度应结合企业的规模、类型和结构进行考虑。ISO/IEC 27003中明确定义了许多企业应定义的典型角色，如表1所示。

表1

整理确定的ISMS目标、初始范围、人员建构，获得管理者对实施ISMS的正式批准和承诺，为建立ISMS提供保障力。

（2） 定义ISMS范围和方针

通过对企业关键业务流程、物理环境以及组织结构等基本信息的分析，从业务边界、信息通信技术边界及物理边界三方面分析形成ISMS的范围边界。

ISMS方针需考虑：实现企业业务要求和信息安全需求ISMS目标的指导；强调所需遵守的法律法规及合同义务要求；建立评价风险和定义风险评估结构准则；高层管理者的职责及承诺。

（3） 风险评估

风险评估初期应建立在ISO/IEC 27002需求控制点上的差距分析，完成对企业现有的信息安全框架的评估，并产生相应的ISO/IEC 27002符合度报告。

还需对企业所拥有的资产分类，依据重要程度分级，最后根据现有的信息安全措施识别出其中可能被威胁利用的资产脆弱性和概率。由此评估企业信息安全面临的风险。

（4） 风险处理

风险被识别后，通常有四种处理风险的方式：降低风险，实施控制措施将风险降低到可接受的等级；接受风险，计算出风险值并了解风险带来的影响；回避风险，忽略风险并非正确的解决方法，但可以通过将资产移出风险区域来避免风险发生或完全放弃可能产生安全脆弱点的活动来回避风险；转移风险，可通过购买保险或外包来转移风险。

大多情况下，企业应该选择ISO/IEC 27002中的控制措施降低风险，在评估风险后，对选择的控制项实施，以满足ISO/IEC27002的标准。企业可以选择能够承受对应控制措施中建议的保护方案来防护面临的威胁。在最终风险处置计划制定前,企业也可以接受或拒绝建议的保护方案。

一旦选定控制措施，应制定相应的风险处置计划，落实相关管理任务、职责、管理责任人、风险管理的优先级等，保证风险处置计划的实施。

（5） 编写体系文件

ISMS建立的最后一步是编写体系文件。ISO/IEC 27001中明确规定了ISMS实施必须文件化，因此对于ISMS的目标、方针、范围及各种控制措施的要求规定都应形成文件。编写ISMS文件时必须具备：符合性。ISMS文件应符合标准的相应条款要求，即ISO/IEC 27001的相关条款要求；可操作性。符合企业的实际情况，具体的控制要求以满足企业实际需要为主，应具有统一格式、鲜明层级且简单适用、避免复杂性，不叙述不在该文件范围内的活动；一致性。同一文件中，上下文不能有不一致的地方，同一体系的不同文件之间不能有矛盾之处，同体系的文件之间不应有不一致的地方。

4.2 实施与运行ISMS

经历了ISMS建立后，本阶段主要是对体系的推广，包含以下三个阶段。

（1） 批准体系文件并发布

ISMS建立阶段完成了满足标准要求、体现各类控制措施的体系文件，在本阶段中，首先应将文件发布给相关员工。

（2） 体系文件的推广

ISMS运行过程中，控制措施的实施是解决问题的关键。员工往往因业务繁忙、安全意识淡薄等原因忽视对体系文件的学习和理解，从而导致ISMS实施不通畅。因此，ISMS建立后，对员工进行体系文件实施方面的培训，安全意识的宣贯等推广手段在ISMS的实施与运行过程中至关重要。

（3） 确保体系文件的实施

这是ISMS实施运行阶段中最关键的过程，也是其目的所在。执行风险处理计划和相关体系文件属于体系的正式实施阶段，该阶段需要执行所选择的控制措施，因此需要相关人员的参与和执行。要确保体系文件的实施，企业必须保证分配有ISMS职责的人员具有执行所要求任务的能力，上一过程中已考虑了对实施人员能力的加强。确保体系实施和运行的另一方面是考虑其它资源的供应，以确保信息安全程序支持业务要求。这个问题更多取决于管理者的态度，在其它阶段同样需要管理者的支持。因此，在ISMS建立和实施的整个过程中取得高层管理者的大力支持也是体系有效实施的前提。

4.3 监视与评审ISMS

本阶段的活动主要有三个：日常监视和检查、内部审核和管理评审。

（1） 日常监视和检查

日常监视和审查是监视和评审ISMS的常规性活动，是在各人员运行ISMS时发现存在的问题和所采取的有效手段。达到以下目的：迅速检测过程运行结果中的错误；迅速识别试图的和得逞的安全违规和事故；使管理者确定分配给人员的安全活动或通过信息技术实施的安全活动是否被如期执行；通过使用指标，帮助检测安全事件并预防安全事故；确定解决安全违规的措施是否有效。

（2） 内部审核

为周期性全面审核，主要以标准的符合性、法律法规要求以及企业的信息安全方针的要求为准则，保证其有效的实施和保持。企业应根据审核的过程、区域的状况和重要性以及以往审核的结果确定审核的准则、范围、频次和方法。同时，对于执行每次内审，应对审核方案进行策划，规定审核的目标、范围、内容、步骤、时间及人员安排等，审核完成后应形成审核报告。

（3） 管理评审

ISMS管理评审是管理者按照计划的时间间隔组织实施的ISMS评审，目标是要检查ISMS是否有效，识别可以改进的地方，并采取措施，以保证ISMS保持持续的适宜性、充分性和有效性。管理评审以会议为主，在管理者的主持下就ISMS运行中存在的问题提出解决方法，并制定纠正与预防措施。

4.4 保持和改进ISMS

本阶段的主要目的是实施监视和评审ISMS阶段所识别的改进措施，以实现体系的持续改进。改进措施包括纠正和预防措施。

（1） 纠正和预防措施

采取纠正措施是为消除与ISMS要求不符合的原因，以防止再发生。预防措施是指为消除潜在不符合的原因，防止其发生采取的措施。纠正措施与预防措施有所区别，纠正措施是为了防止不符合的再发生，而预防措施是为了防止不符合的发生。

在监视和评审ISMS阶段，通过日常的监视与检查、内部审核以及管理评审等应能识别出与ISMS要求不符合的事项以及潜在的不符合项，进而识别出不符合项发生和潜在不符合发生的原因。管理评审的输出结果中会确定要实施的纠正措施及预防措施，保持和改进ISMS阶段就是实施措施、记录措施采取的结果、并对其评审。

（2） 持续改进

企业应通过使用信息安全方针、安全目标、审核结果、监视事件的分析、纠正和预防措施以及管理评审持续地改进ISMS的有效性。

5 信息安全等级保护的融合

ISO/IEC 27000系列标准的实施步骤是：风险评估﹣安全措施的选择﹣再评估﹣管理体系常态化，这样的评估流程非常全面，但在实施时会存在以下问题：

（1） ISO/IEC 27000系列标准中体现的风险评估方法非常科学，并能全面地评估组织ISMS范围内所有威胁以及脆弱点，但是存在风险评估方法选择困难、实施难度大、耗时长、成本高等问题。

（2） ISO/IEC 27002中包含11项控制领域的39项控制目标和133项控制措施，涵盖了安全管理的各个方面。但在实施过程中，如何选择控制措施很困难，如何有重点有针对地选择控制措施更困难。

（3） ISO/IEC 27001侧重于安全管理方面的标准，虽然后来的改版充分考虑了信息处理技术的发展，但ISO/IEC27001中没有涉及对系统和产品技术指标的评估，让企业在构建信息安全管理体系时对于如何在技术上达到安全标准要求缺乏细节指导。

融合信息安全等级保护的分级保护思想及其更为细致的配套实施细则可以有效地降低ISMS建设难度，同时保证ISMS更加完善。

5.1 ISMS目标、范围定义融合

信息安全等级保护基于单个信息系统的安全管理实施，对不同级别的信息系统有明确的安全保护目标。因此，梳理出企业的信息系统定级对象、信息系统的边界及安全保护等级可以帮助明确ISMS的目标、范围。

5.2 控制措施的选择融合

《信息系统安全等级保护基本要求》中对每一等级的基本要求内容较为详细，可直接作为该等级信息系统的实施指南。从内容上看，ISO/IEC 27002中的控制目标与等级保护中的基本要求大体一致。因此可以根据等级保护中的基本要求对ISO/IEC27002的控制措施进行分级。确定所需选择的控制措施，综合ISO/IEC 27002中不具备的实施要求，如网络结构安全等。从而形成一个新的控制措施集合。

5.3 控制措施的实施融合

对于如何达到控制要求，信息安全等级保护制度标准有详细的配套标准，如《GB/T 20270-2006网络基础安全技术要求》、《GB/T 20271-2006信息系统安全通用要求》等细则方面的具体指导。因此企业在建立实施时可以参考相关实施细则确保可以满足控制措施要求。

6 总结

世界上没有绝对的信息安全，构建ISMS也并非意味着企业的信息安全保障能力可以杜绝一切对企业信息的破坏，但构建ISMS却可以有效的减少、削弱企业面临的信息安全风险。而常态化运行的ISMS也会随着时间的推移、企业的发展、环境的变化等因素而改进，让企业从容的面对新的信息安全风险。

参考文献

[1]http://www.baike.com/wiki/ISO27001

[2]ISO/IEC 27001信息安全管理体系要求

[3]ISO/IEC 27002信息安全管理实用规则

[4]ISO/IEC 27003信息安全管理体系实施指南

[5]GB 17859-1999计算机信息系统安全保护等级划分准则

[6]信息系统安全等级保护实施指南下载本文