a* ILIMOOH佛山市南海天富科技有限公司信息安全管理体系建设咨询服务项目时间：2015年12月信息化建设引言随着我国中小企业信息化的普及，信息化给我国中小企业带来积极影响的同时也带来了信息安全方面的消极影响。

一方面：信息化在中小企业的发展程中，对节约企业成本和达到有效管理的起到了积极的推动作用。

另一方面伴随着全球信息化和网络化进程的发展，与此相关的信息安全问题也日趋严重。

由于我国中小企业规模小、经济实力不足以及中小企业的领导者缺乏信息安全领域知识和意识，导致中小企业的信息安全面临着较大的风险，我国中企业信息化进程已经步入普及阶段，解决我国中小企业的信息安全问题已经不容缓。

通过制定和实施企业信息安全管理体系能够规范企业员工的行为，保证各种技术手段的有效实施，从整体上统筹安排各种软硬件，保证信息安全体系同工作的高效、有序和经济性。

信息安全管理体系不仅可以在信息安全事故生后能够及时采取有效的措施，防止信息安全事故带来巨大的损失，而更重的是信息安全管理体系能够预防和避免大多数的信息安全事件的发生。

信息安全管理就是对信息安全风险进行识别、分析、采取措施将风险降到可接受水平并维持该水平的过程。

企业的信息安全管理不是一劳永逸的，由新的威胁不断出现，信息安全管理是一个相对的、动态的过程，企业能做到的就是要不断改进自身的信息安全状态，将信息安全风险控制在企业可接受的围之内，获得企业现有条件下和资源能力范围内最大程度的安全。

在信息安全管理领域，三分技术，七分管理”的理念已经被广泛接受。

结合ISO/IEC27001信息安全管理体系，提出一个适合我国中小企业的信息安全管理的模型，用以指导我国中小企业的信息安全实践并不断提高中小企业的安全管理能力。

IS027001信息安全管理体系框架建立ISO27001信息安全管理体系框架的搭建必须按照适当的程序来进行（如下IWEOOH图所示)。

首先，各个组织应该根据自身的状况来搭建适合自身业务发展和信息安全需求的IS027001信息安全管理体系框架，并在正常的业务开展过程中具体实施构架的IS027001信息安全管理体系。

同时在信息安全管理体系的基础上，建立各种与信息安全管理框架相一致的相关文档、文件，并对其进行严格的管理。

对在具体实施IS027001信息安全管理体系过程中出现的各种信息安全事件和安全状况进行严格的记录，并建立严格的反馈流程和制度。

JU(1)信息安全策略组织应制定信息安全策略(In formation Security P olicy)以对组织的信息安全提供管理方向与支持。

组织不仅要有一个总体的安全策略，而且，在总体策略的框架内，根据风险评估的结果，制定更加具体的安全方针，明确规定具体的控制规则，如清理桌面和清楚屏幕策略”、访问控制策略”等。

(2)范围组织要根据组织的特性、地理位置、资产和技术对信息安全管理体系范围(SCO pe )进行界定。

组织信息安全管理体系范围包括以下项目:需保护的信息系统、资产、技术。

实物场所(地理位置、部门)。

(3)风险评估组织需要选择一个适合其安全要求的风险评估和管理方案，然后进行合乎 规范的评估，识别目前面临的风险及风险等级；风险评估的对象是组织的信息资产，评估考虑 的因素包括资产所受的威胁、薄弱点及威胁发生后对组织的影 响。

无论采用何种风险评估工具方法，其最终评估结果应是一致的。

(4)风险管理组织应根据信息安全策略和所要求的安全程度，识别所要管理的风险内容。

控制风险包括识别所需的安全措施，通过降低、避免、转移将风险降至可接 的水平。

风险随着过程的更改、组织的变化、技术的发展及新出现的潜在威 而变化。

(5)控制目标与控制方式的选择风险评估之后，组织应从已有信息安全技术中选择适当的控制方法，包括 额外的控制(组织新增加的和法律法规所要求的 )，降氐已识别的风险。

适用性声明信息安全适用性声明记录了组织内相关的风险管制目标和针对每种风险所 采取的控制措施。

它的准备，一方面是为了向组织内的员工声明对信息安全 对风险的态度；另一方面也是为了向外界表明组织的态度和作为。

IS027001信息安全管理体系实施方法作为组织完整的管理体系中的一个重要环节，构成了信息安全具有能动性的 分，是指导和控制组织的关于信息安全风险的相互协调的活动，其针对对象 是组织的信息资产。

了解信息安全管理的方法，我们必须先明确企业或组织 信息安全需求。

一般来说，企业的信息安全需求主要有三个来源，他们分别(6)ISO27001信息安全管理体系(Information Security Management System )部法 律法规与合同条约的要求；组织的 原则、目标和规定；风险评估的结果等。

信息安全的成败取决于两个因素：技术和管理，人们常说，三分技术，七 分管理，可见管理对信息安全的重要性，我们可以把安全技术比作信息安全 构筑材料，那么安全管理则是真正的粘合剂和催化剂。

现实世界里，大多数全事件的发生和安全隐患的存在，与 其说是技术上的原因，不如说是管理不善 造成的，理解并重视管理对于信息安全的关键作用，对于真正实现信息安全标来说尤其重要。

信息安全不是产品的简单堆 积，也不是一次性的静态过程, 它是人员、技术、操作这三种要素的紧密结合的系统工程，是不断演进、循 发展的动态过程。

信息安全管理是指导和控制组织的关于信息安全风险的相互协调的活动。

首先应该制定信息安全的策略方针，它是信息安全管理的导向和支持，在此 础上选择控制目标与控制方式，企业和组织还需考虑控制成本与风险平衡的则，将风险降低到组织可接受的水平，整个管理过程需要全员的参与，实施PDCA 莫型，即Plan 、Do 、Check 和Act ,是一种持续改进的管理模式，见下图所示。

措施（Action ――针对检查结果采取应对措施，改进安全状况； 计划（PIan ――根据风险评估结果、法律法规要求、组织业务 运作自身需要来确定控制目标与控制措施;实施（Do ）――实施所选的安全控制措施;检查（Check ――依据策略、程序、标准和法律法规，对安全措施的实施态管理。

实施安全管理，还应遵循管理的一般模式P DCA 模 型。

fActionJ 圮Plan、Do4) 5)情况进行符合性检查。

P DCA 莫型是一种抽象的模型，它把相关的资源和活动抽象为过程进行管理, 具有广泛通用性。

P DCA 是顺序依次进行的，依靠组织的力量推动，周而复始, 不断循环，持续改进，组织中的每个部门和个人，在履行相关职责时，都是于PDCA 这个过程的，组织的内 部管理，就构成了大环 套小环层层递进的模式， 每一次循环结束，都要对其进行总结，巩固成绩，改进不足，同时提出新的 目 标，以便进入下一次更高 级的循环。

识别并评价弱点，理解弱点被利用的容易程度;评估风险，确定风险等级；评估并比较现有的安全措施（控制），找出目标与现状之间的差距;1. 2. 3. 确定组织的信息安全目标和战略 开发信息安全策略进行风险评估（Risk Assessmen ）动包括：，明确组织的信息安全需求，具体活1) 制定风险评估计划（明确范围和责任，米集相关信息，描述目标系统）；2) 识别并评价信息资产，理解资产的价值和敏感性; 3) 识别并评估威胁，理解威胁发生的可能性;6)IS027000/IS02700标准对于信息安全管理体 系的定义如下图所示:IS027001信息安全管理可操作的一般过 程和相应的活动包括:4.7)根据已经明确的需求来推荐安全措施。

进行风险消减(RiskMitigation )，具体活动包括:1)2)确定风险消减策略，以便减少、规避、转嫁或接受风险;选择安全措施(控制)；5.1.2.3.3)4)5)制定安全计划，明确安全措施的构建和实施方案;实施安全计划和策略；对安全计划和策略的实施结果进行测试和检查。

进行风险控制(RiskControl),具体包括:1)2)3)4)信息系统的维护与操作;安全意识、培训与教育;对信息系统的运行和安全措施的效力进行监视;事件响应；再评估与认证。

5)配置管理(Con figuratio n Man ageme nt)，确保系统发生的变化不会降低安全措施的效力和组织的整体安全。

变更管理(Cha nge Ma nageme nt)，当信息系统发生变化时，识别新的安全需求。

应急计划(Contingency Planning)，包括业务连续性计划、灾难恢复计划等。

对应PCDA模型，信息安全目标与战略的确定、信息安全策略开发以及风险评估属于计划阶段(P la n),风险消减属于实施阶段(Do),风险控制、配置管理、变更管理、应急计划以及安全意识培训等活动都可以归入到检查(Check和措施(Action)阶段。

我们所强调的信息安全管理模式，是由风险驱动的信息安全管理模式，是对组织的信息安全风险进行控制和指导的相互协调的活动，风险管理是其中的核心。

四、项目实施原则本项目要求以安全咨询为基础，重点进行安全规划、安全管理体系细化和周期性安全服务为主。

在服务过程中，应遵循以下原则:标准性原则：方案的设计和实施应依据国际标准IS027001、数据敏感、保密、国家及行业相关标准进行;规范性原则：服务提供商的工作过程和所有文档，应具有很好的规范性，以便于项目的跟踪和控制;可控性原则：在保证项目质量的前提下，按计划进度执行，保证甲方对于项目的可控性。

信息安全调研的工具、方法和过程要在双方认可的范围之内合法进行;完整性原则：调研和规划设计的范围和内容应完整地覆盖信息安全所涉及的技术和管理等各个层面，并对这种完整性进行说明或论证，实施对象也应完整地覆盖甲信息系统的各个方面；合理性原则：信息安全规划设计必须立足于甲方的现实情况，设计方法应合乎逻辑，过程应完备详实，从而确保结论是可信服的;可操作性原则：在信息安全架构设计中，应根据信息安全要求提出相应的解决方案，方案必须具体可行，易于实际操作;最小影响原则：调研工作应避免影响系统和网络的正常运行，不能对现正常运行的系统和网络构成破坏和造成停产；保密性原则：调研的过程和结果应严格保密，未经甲方授权，对项目涉及的任何信息不得泄露给第三方;经济性原则：方案的设计和实施应在达到项目要求的前提下，具有较高的性价比和经济性；” liLUlOOM先进性原则:方案的设计要具备先进性和前瞻性，需统筹考虑甲方未来五年的信息安全 发展需求。

业务战略及规划一致性分析确定ISMS 范围 五、 项目阶段及内容服务项目阶段过程 主要任务 主要内容确定ISMS 范围法规制度符合性分析 业务运营影响分析 准备IS027001 咨询服务风险评估安全体系 规划与设计确定信息安全总体方针政策定义风险评估与管理方法业务及系统初步安全需求分析 确定ISMS 总体方针政策 确定风险评估模型及相关指标准则 制定风险评估与管理程序制定实施计划 组建项目组项目准备 现状分析风险评价风险处置安全体系规划编写安全体系文档整理开发工具/模板项目启动会 培训 问卷调查 现场访谈手工检测安全扫描 渗透测试 综合分析 撰写报告资产评价 威胁评价 弱点评价 风险评价 撰写风险评估报告 选择风险处置方式选择安全控制措施 制定风险处置计划 残余风险分析任务或项目分解任务或项目实施规划 撰写规划报告 确定ISMS 文件清单建立满足IS027001国际标准及行业监管要求，并适应组织自身管理特点的 信息安全管理体系； 获得IS027001认证;提升主动防范信息技术相关安全风险的能力，保障组织运营的安全; 成体系的监督、检查机制，建立可自我改进和完善的管理体系;织内部全员的安全意识，在组织内部形成信息安全文化氛围，以更 推动信息安全管理工作的持续改进。