信息安全管理体系建设讨论摘要:随着信息化的迅速进展,信息化技术在企业中的应用日益普及,但在信息化技术的应用在极大的提高了企业工作效率和效益的同时,也带来了信息化安全的困扰,信息系统多、分布广、结构复杂、新技术应用多等原因导致信息安全建设成为企业面临的难题和挑战。本文通过对企业信息安全现状存在的问题进行分析,引入了 ISO/IEC 27000 系列标准与信息安全等级保护系列标准,进一步分析出企业基于 ISO/IEC 27001 信息安全管理体系的过程,并简要分析建设过程的难点以及如何融合信息安全等级保护系列标准以减少其难度。关键词:信息安全;管理;体系;ISMS;建设1 前言我们身处信息时代,计算机和网络已经成为各类组织不可或缺的工具,信息成为企业赖以生存的重要资产,其价值与日俱增,与此同时也面临各种各样、越来越多的安全威胁。病毒破坏、黑客攻击、网络欺诈、重要信息资料丢失、信息系统瘫痪以及利用计算机网络实施的各种犯罪行为层出不穷、防不胜防。信息资产一旦遭到破坏,将给企业带来直接的经济损失,并导致企业的声誉和公众形象受到损害,使企业丧失市场机会和竞争力,甚至威胁企业的生存。因此,企业必须解决信息安全问题,有效保护信息资产.而如何建设高级别的信息安全保障能力是众多企业迫切需要解决的问题.2 企业现状分析近些年来,随着信息化的急速进展,国内多次暴露的信息安全事件泄密、系统遭受入侵等安全事件都在刺激着中国国内企业对信息安全的建设。在信息安全建设上投入了大量的人力物力,但对于信息安全建设过程中往往存在以下问题:(1) 企业一般会跟随市场或听从个别厂家的建议,对自身的实际需求以及整体、长远的信息安全规划缺乏考虑。(2) 企业会更注重于 IT 基础设施的安全建设,对于业务、应用以及信息化数据考虑较少,因此对业务的安全保障和业务促进作用有限。(3) 安全建设方案大多是各自独立设计和制定,不能保证整体的兼容性、互操作性以及最终目标的一致性。(4) 购买和部署大量安全终端,但不能有效的整合并利用.出现以上问题主要原因:企业投入信息安全建设时缺乏有效的方法把握全局性的信息安全建设;安全建设与企业实际情况匹配度低;安全建设缺乏科学规划;缺乏有效测量手段促进安全保障能力的提升.因此本文旨在通过讨论相关权威标准,探讨如何建立一套适合企业自身进展需求的信息安全管理体系(ISMS, Information Security Management System)。3 标准介绍目前,...
