ISO27001信息安全管理體系認證建設分為四個階段:實施安全風險評估、規劃體系建設方案、建立信息安全管理體系、系統運行和改進。同時也符合PDCA(Plan-Do-Check-Action)模型和ISO27001的要求，即有效地保護企業信息系統的安全，保證信息安全的可持續發展。本文結合作者的經驗，重點介紹了以上幾個方面。
1.確立ISO27001認證范圍。
首先，確立項目范圍，從機構層次和系統層次兩個維度劃分范圍。從機構層面來說，可以考慮內部機構:需要覆蓋公司的各個部門，包括總部、事業部、制造總部、技術總部等。外部機構:包括與公司信息系統相連的外部機構，包括供應商、中間業務伙伴等合作伙伴。

 

從系統層面來說，可以根據物理環境，即支持信息系統的場所、周圍環境和保證計算機系統在場所正常運行的設施。包括機房環境、門禁、監控等。網絡系統:構成信息系統網絡傳輸環境的線路介質、設備和軟件；服務器平臺系統:支持所有信息系統的服務器、網絡設備、客戶機及其操作系統、數據庫、中間件、Web系統等軟件平臺系統；應用系統:支持業務、辦公和管理應用的應用系統；數據:整個信息系統中傳輸和存儲的數據；安全管理:包括安全策略、規章制度、人員組織、開發安全、項目安全管理和系統管理人員在日常運行維護過程中的安全合規和安全審計。

 

二、信息安全管理安全風險評估。
企業信息安全是指保證企業業務系統不被非法訪問、使用和篡改，為員工提供安全可信的服務，保證信息系統的可用性、完整性和保密性。

 

本次安全評估主要包括兩個方面:
2.1.企業安全管理評估。
通過對企業安全控制現狀的調查、訪談、文檔研究和ISO27001的最佳實踐比較，以及對行業經驗的差距分析，檢查企業在安全控制方面的弱點，從而為安全措施的選擇提供依據。

評估內容包括ISO27001所涵蓋的11個與信息安全管理系統相關的方面，包括信息安全策略、安全組織、資產分類與控制、人員安全、物理與環境安全、通信與操作管理、訪問控制、系統開發與維護、安全事件管理、業務連續性管理合規性。

 

2.2.企業安全技術評估。
基于資產安全等級的分類，通過信息設備的安全掃描和安全設備的配置，檢查和分析現有網絡設備、服務器系統、終端和網絡安全架構的安全現狀和弱點，為安全加固提供依據。

安全評估是企業具有代表性的關鍵應用。關鍵應用的評價方法是滲透測試，在應用評價中識別應用系統的威脅和弱點，分析其與應用系統安全目標的差距，為后期改造提供依據。

說到安全評估，必須有方法論。我們以ISO27001為核心，借鑒國際上常用的幾種評估模型的優勢，結合企業自身的特點，建立風險評估模型:

風險評估模型主要包括四個因素:信息資產、弱點、威脅和風險。每個要素都有自己的屬性，信息資產的屬性是資產價值，弱點的屬性是在現有控制措施的保護下被威脅利用的可能性和被威脅利用后對資產的嚴重影響。威脅屬性是威脅的可能性和危害的嚴重程度，風險屬性是風險水平。風險評估采用定性風險評估方法，分級賦值。

三、規劃體系建設方案。
企業信息安全問題的根源分布在技術、人員和管理層面。要統一規劃和建立企業信息安全體系，最終實施管理措施和技術措施，確保信息安全。

規劃體系建設方案是在風險評估的基礎上，對企業存在的安全風險提出安全建議，增強系統的安全性和抗攻擊性。

未來1-2年，通過信息安全體系的建立和實施，建立安全組織，進行技術安全審計，改造內外網絡隔離，部署安全產品，實現以流程為導向的轉型。未來3-5年，通過完善的信息安全體系、相應的物理環境改造和業務連續性項目建設，將企業建設成為注重管理、預防為主、防控相結合的先進企業。

四、建立信息安全管理體系認證。
信息安全管理系統認證是基于信息安全模型和企業信息化。建立信息安全管理系統的核心可以充分發揮六種能力:預警(Warn)、保護(Protect)、檢測(Detect)、反應(Response)、恢復(Recover)和反擊(Counter-attack)。系統應該兼顧外部和內部的功能。

安全體系的建設涉及安全管理體系的完善；第二，涉及信息安全技術。首先，安全管理體系的主要內容包括企業信息系統的總體安全政策、安全技術策略和安全管理策略?？傮w安全政策涉及安全組織、安全管理制度、人員安全管理、安全運行維護等安全制度。安全技術策略涉及信息域劃分、業務應用安全等級、安全保護思路、進一步統一管理、系統分級、網絡互聯、容災備份、集中監控等要求。