ISO27001信息安全管理體系認證建設分為四個(gè)階段:實(shí)施安全風(fēng)險評估、規劃體系建設方案、建立信息安全管理體系、系統運行和改進(jìn)。同時(shí)也符合PDCA(Plan-Do-Check-Action)模型和ISO27001的要求，即有效地保護企業(yè)信息系統的安全，保證信息安全的可持續發(fā)展。本文結合作者的經(jīng)驗，重點(diǎn)介紹了以上幾個(gè)方面。
1.確立ISO27001認證范圍。
首先，確立項目范圍，從機構層次和系統層次兩個(gè)維度劃分范圍。從機構層面來(lái)說(shuō)，可以考慮內部機構:需要覆蓋公司的各個(gè)部門(mén)，包括總部、事業(yè)部、制造總部、技術(shù)總部等。外部機構:包括與公司信息系統相連的外部機構，包括供應商、中間業(yè)務(wù)伙伴等合作伙伴。

 

從系統層面來(lái)說(shuō)，可以根據物理環(huán)境，即支持信息系統的場(chǎng)所、周?chē)h(huán)境和保證計算機系統在場(chǎng)所正常運行的設施。包括機房環(huán)境、門(mén)禁、監控等。網(wǎng)絡(luò )系統:構成信息系統網(wǎng)絡(luò )傳輸環(huán)境的線(xiàn)路介質(zhì)、設備和軟件；服務(wù)器平臺系統:支持所有信息系統的服務(wù)器、網(wǎng)絡(luò )設備、客戶(hù)機及其操作系統、數據庫、中間件、Web系統等軟件平臺系統；應用系統:支持業(yè)務(wù)、辦公和管理應用的應用系統；數據:整個(gè)信息系統中傳輸和存儲的數據；安全管理:包括安全策略、規章制度、人員組織、開(kāi)發(fā)安全、項目安全管理和系統管理人員在日常運行維護過(guò)程中的安全合規和安全審計。

 

二、信息安全管理安全風(fēng)險評估。
企業(yè)信息安全是指保證企業(yè)業(yè)務(wù)系統不被非法訪(fǎng)問(wèn)、使用和篡改，為員工提供安全可信的服務(wù)，保證信息系統的可用性、完整性和保密性。

 

本次安全評估主要包括兩個(gè)方面:
2.1.企業(yè)安全管理評估。
通過(guò)對企業(yè)安全控制現狀的調查、訪(fǎng)談、文檔研究和ISO27001的最佳實(shí)踐比較，以及對行業(yè)經(jīng)驗的差距分析，檢查企業(yè)在安全控制方面的弱點(diǎn)，從而為安全措施的選擇提供依據。

評估內容包括ISO27001所涵蓋的11個(gè)與信息安全管理系統相關(guān)的方面，包括信息安全策略、安全組織、資產(chǎn)分類(lèi)與控制、人員安全、物理與環(huán)境安全、通信與操作管理、訪(fǎng)問(wèn)控制、系統開(kāi)發(fā)與維護、安全事件管理、業(yè)務(wù)連續性管理合規性。

 

2.2.企業(yè)安全技術(shù)評估。
基于資產(chǎn)安全等級的分類(lèi)，通過(guò)信息設備的安全掃描和安全設備的配置，檢查和分析現有網(wǎng)絡(luò )設備、服務(wù)器系統、終端和網(wǎng)絡(luò )安全架構的安全現狀和弱點(diǎn)，為安全加固提供依據。

安全評估是企業(yè)具有代表性的關(guān)鍵應用。關(guān)鍵應用的評價(jià)方法是滲透測試，在應用評價(jià)中識別應用系統的威脅和弱點(diǎn)，分析其與應用系統安全目標的差距，為后期改造提供依據。

說(shuō)到安全評估，必須有方法論。我們以ISO27001為核心，借鑒國際上常用的幾種評估模型的優(yōu)勢，結合企業(yè)自身的特點(diǎn)，建立風(fēng)險評估模型:

風(fēng)險評估模型主要包括四個(gè)因素:信息資產(chǎn)、弱點(diǎn)、威脅和風(fēng)險。每個(gè)要素都有自己的屬性，信息資產(chǎn)的屬性是資產(chǎn)價(jià)值，弱點(diǎn)的屬性是在現有控制措施的保護下被威脅利用的可能性和被威脅利用后對資產(chǎn)的嚴重影響。威脅屬性是威脅的可能性和危害的嚴重程度，風(fēng)險屬性是風(fēng)險水平。風(fēng)險評估采用定性風(fēng)險評估方法，分級賦值。

三、規劃體系建設方案。
企業(yè)信息安全問(wèn)題的根源分布在技術(shù)、人員和管理層面。要統一規劃和建立企業(yè)信息安全體系，最終實(shí)施管理措施和技術(shù)措施，確保信息安全。

規劃體系建設方案是在風(fēng)險評估的基礎上，對企業(yè)存在的安全風(fēng)險提出安全建議，增強系統的安全性和抗攻擊性。

未來(lái)1-2年，通過(guò)信息安全體系的建立和實(shí)施，建立安全組織，進(jìn)行技術(shù)安全審計，改造內外網(wǎng)絡(luò )隔離，部署安全產(chǎn)品，實(shí)現以流程為導向的轉型。未來(lái)3-5年，通過(guò)完善的信息安全體系、相應的物理環(huán)境改造和業(yè)務(wù)連續性項目建設，將企業(yè)建設成為注重管理、預防為主、防控相結合的先進(jìn)企業(yè)。

四、建立信息安全管理體系認證。
信息安全管理系統認證是基于信息安全模型和企業(yè)信息化。建立信息安全管理系統的核心可以充分發(fā)揮六種能力:預警(Warn)、保護(Protect)、檢測(Detect)、反應(Response)、恢復(Recover)和反擊(Counter-attack)。系統應該兼顧外部和內部的功能。

安全體系的建設涉及安全管理體系的完善；第二，涉及信息安全技術(shù)。首先，安全管理體系的主要內容包括企業(yè)信息系統的總體安全政策、安全技術(shù)策略和安全管理策略?？傮w安全政策涉及安全組織、安全管理制度、人員安全管理、安全運行維護等安全制度。安全技術(shù)策略涉及信息域劃分、業(yè)務(wù)應用安全等級、安全保護思路、進(jìn)一步統一管理、系統分級、網(wǎng)絡(luò )互聯(lián)、容災備份、集中監控等要求。