摘要：信息安全和信息安全管理已成为当今社会的共同关注的焦点。本文在简述建立信息安全管理体系的作用与意义的基础上，分析了当前已实施的信息安全标准和有关技术规范，以及信息安全管理体系模型，着重介绍了组织建立信息安全管理体系的基本过程和方法步骤，旨在通过组织自主策划、实施、检查、改进信息安全管理体系，提高组织的信息安全防范能力，从技术、管理和制度上筑起信息安全保密防线。
    关键词：信息安全；信息安全管理体系；体系建设

    自20世纪90年代以来，科学技术的高度发展已经毋庸置疑地把我们带进了信息时代，随着信息以爆炸式的速度不断在我们生活中的每一个角落大量涌现，如何管理信息，确保信息的安全为世人瞩目,信息安全管理已成为当前全球共同的热门话题，已成为世界各国防范失泄密渠道的关注焦点。传统的信息安全着眼于常规的信息系统安全设备，诸如防火墙、VPN、入侵检测系统、防病毒系统、认证系统等，构成了信息安全的防护屏障。实践再三证明，要保证信息安全需要有三个方面的工作要做，这就是需要技术、管理与法制。所以仅仅依靠技术保障信息安全的做法是不会达到应有效果的，“三分技术，七分管理”这个在其他领域总结出来的实践经验和原则，在信息领域也同样适用。因此，在信息安全的重要性日益突出、信息安全手段日新月异的今天，加强信息安全管理工作就显得尤为重要。
    一、 建立信息安全管理体系的作用与意义
    1. 什么是信息安全？
     信息安全即信息的保密性(Confidentiality)、完整性(Integrity)、可用性(Availability)的保持和维护。
    2. 什么是信息安全管理体系（ISMS）？
    信息安全管理体系（Information Securitry Management Systems）是组织在整体或特定范围内建立信息安全方针和目标，以及完成这些目标所用方法的体系。它是直接管理活动的结果，表示成方针、原则、目标、方法、过程、核查表（Checklists）等要素的集合。
    3. 为什么需要信息安全？
    3.1信息安全是国家安全的需要
    虽然我们现在处于和平年代，但是国家仍然面临着来自敌对国家、恐怖分子、内部人员、经济竞争者、黑客等方面的威胁，信息安全已上升为一个事关国家政治稳定、军事安全、社会安定、经济有序运行的全局性问题。不断致力于提高整个国家的信息安全程度是国家优先考虑的主题。中国工程院院士何德全曾经很生动地描述为“没有信息安全，就没有完全意义上的国家安全，也没有真正的政治安全、军事安全和经济安全。”
    3.2信息安全是组织持续发展的需要
    任何组织正常运作离不开信息资源的支持，这包括组织的知识产权、各种重要数据、信息处理设施、关键人员等，组织的商业秘密被泄露会使组织丧失竞争优势，失去市场；系统故障会造成正常的业务运作中断；组织的信息安全也会危及国家信息安全；因此，组织要保持可持续发展，信息安全是基本的保证之一。
    3.3信息安全是保护个人隐私与财产的需要
    人们日常生活中经常要和银行、医院、电信运营商、保险公司、网络服务提供商等机构打交道，人们在接受其提供的服务的同时，也必须将自己有关的信息，如姓名、家庭地址、电话号码、健康情况等，提供给上述机构，要求保守有关个人信息的秘密，是个人的正当合理要求。
    3.4信息安全可以提高组织满足法律法规和合同要求的能力
    《中华人民共和国保守国家秘密法》、《中华人民共和国商用密码管理条例》等法律法规要求组织保护特定信息的保密性、完整性和可用性；《中华人民共和国公司法》、《中华人民共和国证券法》等一些法律要求组织完整、准确、按时披露相关信息；《中华人民共和国专利法》、《中华人民共和国技术合同法》等法律法规要求组织尊重知识产权；某些合作伙伴要求对合作涉及的秘密信息保密，组织需要保障共享给合作伙伴的信息安全等等，这些因素都要求组织能够保障信息安全。
    3.5信息容易遭受破坏
    许多信息系统和网络本身就不是按照安全系统的要求来设计的，因此信息系统和网络面临着包括诈骗、间谍、蓄意破坏行为、火灾、水灾等大范围的安全威胁，诸如信息被窃取、计算机病毒、服务器的非法入侵破坏等现象越来越普遍和复杂，危害越来越大。
    3.6电子化、网络化的普及使信息安全更加重要。
    依靠信息系统和服务意味着公司更易受到安全威胁和破坏，公共和私人网络的互连互通及信息资源的共享增大了访问控制的难度。
    二、信息安全管理标准及体系模型
    1. 信息安全管理标准
    近年来，我国对信息安全标准的制定与实施工作非常重视，不仅引进了国际上著名的ISO/IEC27001:2005《信息安全管理体系要求》和ISO/IEC17799:2005《信息安全管理实用规则》、ISO/IEC15408:1999《IT安全评估准则》、SSE-CMM《系统安全工程能力成熟度模型》等信息安全管理标准。而且，为了更好地推进我国信息安全管理工作，相关部门还制定了中华人民共和国国家标准GB17895-1999《计算机信息系统安全保护等级划分准则》、GB/T 18336:2001－信息技术安全性评估准则和GB/T 20269-2006《信息安全技术信息系统安全管理要求》等一批重要的信息安全管理方面的标准。
    2. 信息安全管理体系模型
    信息安全管理体系模型一般被认为是安全策略的正式陈述（formalpresentation），并由系统组织强制实施，用以检验安全策略的完整性和一致性，它描述的是组织为贯彻实施安全策略而必须采取的所有安全机制的组合。信息安全管理是一个持续发展的过程，像其他管理过程那样，它也遵循着一般性的循环模式，信息安全管理体系模型就是我们常说的PDCA模型，如图所示。

PDCA模型

    计划（Plan）——这是信息安全管理周期的起点，作为安全管理的准备阶段，为后续活动提供基础和依据。计划阶段的活动包括：建立组织机构，明晰责任，确定安全目标、战略和策略，进行风险评估，选择安全措施，并在明确安全需求的基础上制定安全计划、业务连续性计划、意识培训等信息安全管理程序和过程。
    实施（Do）——实施阶段是实现计划阶段确定目标的过程，包括安全策略、所选择的安全措施或控制、安全意识和培训程序等。
    检查（Check）——信息安全实施过程的效果如何，需要通过监视、审计、复查、评估等手段来进行检查，检查的依据就是计划阶段建立的安全策略、目标、程序，以及标准、法律法规和实践经验，检查的结果是进一步采取措施的依据。
改进（Action）——如果检查发现安全实施的效果不能满足计划阶段建立的需求，或者有意外事件发生，或者某些因素引起了新的变化，经过管理层认可，需要采取应对措施进行改进，并按照已经建立的响应机制来行事，必要时进入新的一轮信息安全管理周期，以便持续改进和发展信息安全。
    三、信息安全管理体系建设过程
    信息安全管理体系（ISMS）是一个系统化、程序化和文件化的管理体系，属于风险管理的范畴，体系的建立需要基于系统、全面、科学的安全风险评估。ISMS体现预防控制为主的思想，强调遵守国家有关信息安全的法律法规，强调全过程和动态控制，本着控制费用与风险平衡的原则，合理选择安全控制方式保护组织所拥有的关键信息资产，确保信息的保密性、完整性和可用性，从而保持组织的竞争优势和业务运作的持续性。
构建信息安全管理体系（ISMS）不是一蹴而就的，也不是每个企业都使用一个统一的模板，不同的组织在建立与完善信息安全管理体系时，可根据自己的特点和具体情况，采取不同的步骤和方法。但总体来说，建立信息安全管理体系一般要经过以下几个主要步骤：
    1、信息安全管理体系策划与准备
    策划与准备阶段主要是做好建立信息安全管理体系的各种前期工作。内容包括教育培训、拟定计划、安全管理发展情况调研，以及人力资源的配置与管理。
    2、确定信息安全管理体系适用的范围
    信息安全管理体系的范围就是需要重点进行管理的安全领域。组织需要根据自己的实际情况，可以在整个组织范围内、也可以在个别部门或领域内实施。在本阶段的工作，应将组织划分成不同的信息安全控制领域，这样做易于组织对有不同需求的领域进行适当的信息安全管理。在定义适用范围时，应重点考虑组织的适用环境、适用人员、现有IT技术、现有信息资产等。
    3、现状调查与风险评估
    依据有关信息安全技术与管理标准，对信息系统及由其处理、传输和存储的信息的机密性、完整性和可用性等安全属性进行调研和评价，以及评估信息资产面临的威胁以及导致安全事件发生的可能性，并结合安全事件所涉及的信息资产价值来判断安全事件一旦发生对组织造成的影响。
    4、建立信息安全管理框架
    建立信息安全管理体系要规划和建立一个合理的信息安全管理框架，要从整体和全局的视角，从信息系统的所有层面进行整体安全建设，从信息系统本身出发，根据业务性质、组织特征、信息资产状况和技术条件，建立信息资产清单，进行风险分析、需求分析和选择安全控制，准备适用性声明等步骤，从而建立安全体系并提出安全解决方案。
    5、信息安全管理体系文件编写
    建立并保持一个文件化的信息安全管理体系是ISO/IEC27001:2005标准的总体要求，编写信息安全管理体系文件是建立信息安全管理体系的基础工作，也是一个组织实现风险控制、评价和改进信息安全管理体系、实现持续改进不可少的依据。在信息安全管理体系建立的文件中应该包含有：安全方针文档、适用范围文档、风险评估文档、实施与控制文档、适用性声明文档。
    6、信息安全管理体系的运行与改进
    信息安全管理体系文件编制完成以后，组织应按照文件的控制要求进行审核与批准并发布实施，至此，信息安全管理体系将进入运行阶段。在此期间，组织应加强运作力度，充分发挥体系本身的各项功能，及时发现体系策划中存在的问题，找出问题根源，采取纠正措施，并按照更改控制程序要求对体系予以更改，以达到进一步完善信息安全管理体系的目的。
    7、信息安全管理体系审核
体系审核是为获得审核证据，对体系进行客观的评价，以确定满足审核准则的程度所进行的系统的、独立的并形成文件的检查过程。体系审核包括内部审核和外部审核(第三方审核)。内部审核一般以组织名义进行，可作为组织自我合格检查的基础；外部审核由外部独立的组织进行，可以提供符合要求（如ISO/IEC27001）的认证或注册。
总之，信息安全管理体系的建设过程是一个系统工程，需要按照PDCA模型不断地持续改进。通过综合各种安全控制措施的实施，可以为组织建立起一个包括“人力防火墙”、“技术防火墙”和“管理防火墙”在内的完备的信息安全管理体系，为组织筑起信息安全的保密防线。
    参考文献：
    1．北京知识安全工程中心编著. 信息安全管理体系（ISMS）标准汇编. 2007年12月.
    2．北京知识安全工程中心编著. 信息安全管理体系审核指南. 中国标准出版社. 2007年7月.

    作者简介：
    作者姓名：靳宏福（1964.5） 性别：男  籍贯：山西临汾  职称：工程师/国家注册审核员
    学位：硕士  主要研究方向：质量和信息安全管理体系审核
    通信地址：北京市朝阳区京顺路7号     邮政编码：100028   联系电话：010－66359505
    Email地址：jhf1964529@163.com

(责任编辑：)