ISO27001信息安全管理體系認證建設(shè)分為四個階段:實施安全風(fēng)險評估、規(guī)劃體系建設(shè)方案、建立信息安全管理體系、系統(tǒng)運行和改進。同時也符合PDCA(Plan-Do-Check-Action)模型和ISO27001的要求，即有效地保護企業(yè)信息系統(tǒng)的安全，保證信息安全的可持續(xù)發(fā)展。本文結(jié)合作者的經(jīng)驗，重點介紹了以上幾個方面。
1.確立ISO27001認證范圍。
首先，確立項目范圍，從機構(gòu)層次和系統(tǒng)層次兩個維度劃分范圍。從機構(gòu)層面來說，可以考慮內(nèi)部機構(gòu):需要覆蓋公司的各個部門，包括總部、事業(yè)部、制造總部、技術(shù)總部等。外部機構(gòu):包括與公司信息系統(tǒng)相連的外部機構(gòu)，包括供應(yīng)商、中間業(yè)務(wù)伙伴等合作伙伴。

 

從系統(tǒng)層面來說，可以根據(jù)物理環(huán)境，即支持信息系統(tǒng)的場所、周圍環(huán)境和保證計算機系統(tǒng)在場所正常運行的設(shè)施。包括機房環(huán)境、門禁、監(jiān)控等。網(wǎng)絡(luò)系統(tǒng):構(gòu)成信息系統(tǒng)網(wǎng)絡(luò)傳輸環(huán)境的線路介質(zhì)、設(shè)備和軟件；服務(wù)器平臺系統(tǒng):支持所有信息系統(tǒng)的服務(wù)器、網(wǎng)絡(luò)設(shè)備、客戶機及其操作系統(tǒng)、數(shù)據(jù)庫、中間件、Web系統(tǒng)等軟件平臺系統(tǒng)；應(yīng)用系統(tǒng):支持業(yè)務(wù)、辦公和管理應(yīng)用的應(yīng)用系統(tǒng)；數(shù)據(jù):整個信息系統(tǒng)中傳輸和存儲的數(shù)據(jù)；安全管理:包括安全策略、規(guī)章制度、人員組織、開發(fā)安全、項目安全管理和系統(tǒng)管理人員在日常運行維護過程中的安全合規(guī)和安全審計。

 

二、信息安全管理安全風(fēng)險評估。
企業(yè)信息安全是指保證企業(yè)業(yè)務(wù)系統(tǒng)不被非法訪問、使用和篡改，為員工提供安全可信的服務(wù)，保證信息系統(tǒng)的可用性、完整性和保密性。

 

本次安全評估主要包括兩個方面:
2.1.企業(yè)安全管理評估。
通過對企業(yè)安全控制現(xiàn)狀的調(diào)查、訪談、文檔研究和ISO27001的最佳實踐比較，以及對行業(yè)經(jīng)驗的差距分析，檢查企業(yè)在安全控制方面的弱點，從而為安全措施的選擇提供依據(jù)。

評估內(nèi)容包括ISO27001所涵蓋的11個與信息安全管理系統(tǒng)相關(guān)的方面，包括信息安全策略、安全組織、資產(chǎn)分類與控制、人員安全、物理與環(huán)境安全、通信與操作管理、訪問控制、系統(tǒng)開發(fā)與維護、安全事件管理、業(yè)務(wù)連續(xù)性管理合規(guī)性。

 

2.2.企業(yè)安全技術(shù)評估。
基于資產(chǎn)安全等級的分類，通過信息設(shè)備的安全掃描和安全設(shè)備的配置，檢查和分析現(xiàn)有網(wǎng)絡(luò)設(shè)備、服務(wù)器系統(tǒng)、終端和網(wǎng)絡(luò)安全架構(gòu)的安全現(xiàn)狀和弱點，為安全加固提供依據(jù)。

安全評估是企業(yè)具有代表性的關(guān)鍵應(yīng)用。關(guān)鍵應(yīng)用的評價方法是滲透測試，在應(yīng)用評價中識別應(yīng)用系統(tǒng)的威脅和弱點，分析其與應(yīng)用系統(tǒng)安全目標(biāo)的差距，為后期改造提供依據(jù)。

說到安全評估，必須有方法論。我們以ISO27001為核心，借鑒國際上常用的幾種評估模型的優(yōu)勢，結(jié)合企業(yè)自身的特點，建立風(fēng)險評估模型:

風(fēng)險評估模型主要包括四個因素:信息資產(chǎn)、弱點、威脅和風(fēng)險。每個要素都有自己的屬性，信息資產(chǎn)的屬性是資產(chǎn)價值，弱點的屬性是在現(xiàn)有控制措施的保護下被威脅利用的可能性和被威脅利用后對資產(chǎn)的嚴重影響。威脅屬性是威脅的可能性和危害的嚴重程度，風(fēng)險屬性是風(fēng)險水平。風(fēng)險評估采用定性風(fēng)險評估方法，分級賦值。

三、規(guī)劃體系建設(shè)方案。
企業(yè)信息安全問題的根源分布在技術(shù)、人員和管理層面。要統(tǒng)一規(guī)劃和建立企業(yè)信息安全體系，最終實施管理措施和技術(shù)措施，確保信息安全。

規(guī)劃體系建設(shè)方案是在風(fēng)險評估的基礎(chǔ)上，對企業(yè)存在的安全風(fēng)險提出安全建議，增強系統(tǒng)的安全性和抗攻擊性。

未來1-2年，通過信息安全體系的建立和實施，建立安全組織，進行技術(shù)安全審計，改造內(nèi)外網(wǎng)絡(luò)隔離，部署安全產(chǎn)品，實現(xiàn)以流程為導(dǎo)向的轉(zhuǎn)型。未來3-5年，通過完善的信息安全體系、相應(yīng)的物理環(huán)境改造和業(yè)務(wù)連續(xù)性項目建設(shè)，將企業(yè)建設(shè)成為注重管理、預(yù)防為主、防控相結(jié)合的先進企業(yè)。

四、建立信息安全管理體系認證。
信息安全管理系統(tǒng)認證是基于信息安全模型和企業(yè)信息化。建立信息安全管理系統(tǒng)的核心可以充分發(fā)揮六種能力:預(yù)警(Warn)、保護(Protect)、檢測(Detect)、反應(yīng)(Response)、恢復(fù)(Recover)和反擊(Counter-attack)。系統(tǒng)應(yīng)該兼顧外部和內(nèi)部的功能。

安全體系的建設(shè)涉及安全管理體系的完善；第二，涉及信息安全技術(shù)。首先，安全管理體系的主要內(nèi)容包括企業(yè)信息系統(tǒng)的總體安全政策、安全技術(shù)策略和安全管理策略。總體安全政策涉及安全組織、安全管理制度、人員安全管理、安全運行維護等安全制度。安全技術(shù)策略涉及信息域劃分、業(yè)務(wù)應(yīng)用安全等級、安全保護思路、進一步統(tǒng)一管理、系統(tǒng)分級、網(wǎng)絡(luò)互聯(lián)、容災(zāi)備份、集中監(jiān)控等要求。