ISO27001信息安全管理體系認(rèn)證建設(shè)分為四個階段:實(shí)施安全風(fēng)險(xiǎn)評估、規(guī)劃體系建設(shè)方案、建立信息安全管理體系、系統(tǒng)運(yùn)行和改進(jìn)。同時(shí)也符合PDCA(Plan-Do-Check-Action)模型和ISO27001的要求，即有效地保護(hù)企業(yè)信息系統(tǒng)的安全，保證信息安全的可持續(xù)發(fā)展。本文結(jié)合作者的經(jīng)驗(yàn)，重點(diǎn)介紹了以上幾個方面。
1.確立ISO27001認(rèn)證范圍。
首先，確立項(xiàng)目范圍，從機(jī)構(gòu)層次和系統(tǒng)層次兩個維度劃分范圍。從機(jī)構(gòu)層面來說，可以考慮內(nèi)部機(jī)構(gòu):需要覆蓋公司的各個部門，包括總部、事業(yè)部、制造總部、技術(shù)總部等。外部機(jī)構(gòu):包括與公司信息系統(tǒng)相連的外部機(jī)構(gòu)，包括供應(yīng)商、中間業(yè)務(wù)伙伴等合作伙伴。

 

從系統(tǒng)層面來說，可以根據(jù)物理環(huán)境，即支持信息系統(tǒng)的場所、周圍環(huán)境和保證計(jì)算機(jī)系統(tǒng)在場所正常運(yùn)行的設(shè)施。包括機(jī)房環(huán)境、門禁、監(jiān)控等。網(wǎng)絡(luò)系統(tǒng):構(gòu)成信息系統(tǒng)網(wǎng)絡(luò)傳輸環(huán)境的線路介質(zhì)、設(shè)備和軟件；服務(wù)器平臺系統(tǒng):支持所有信息系統(tǒng)的服務(wù)器、網(wǎng)絡(luò)設(shè)備、客戶機(jī)及其操作系統(tǒng)、數(shù)據(jù)庫、中間件、Web系統(tǒng)等軟件平臺系統(tǒng)；應(yīng)用系統(tǒng):支持業(yè)務(wù)、辦公和管理應(yīng)用的應(yīng)用系統(tǒng)；數(shù)據(jù):整個信息系統(tǒng)中傳輸和存儲的數(shù)據(jù)；安全管理:包括安全策略、規(guī)章制度、人員組織、開發(fā)安全、項(xiàng)目安全管理和系統(tǒng)管理人員在日常運(yùn)行維護(hù)過程中的安全合規(guī)和安全審計(jì)。

 

二、信息安全管理安全風(fēng)險(xiǎn)評估。
企業(yè)信息安全是指保證企業(yè)業(yè)務(wù)系統(tǒng)不被非法訪問、使用和篡改，為員工提供安全可信的服務(wù)，保證信息系統(tǒng)的可用性、完整性和保密性。

 

本次安全評估主要包括兩個方面:
2.1.企業(yè)安全管理評估。
通過對企業(yè)安全控制現(xiàn)狀的調(diào)查、訪談、文檔研究和ISO27001的最佳實(shí)踐比較，以及對行業(yè)經(jīng)驗(yàn)的差距分析，檢查企業(yè)在安全控制方面的弱點(diǎn)，從而為安全措施的選擇提供依據(jù)。

評估內(nèi)容包括ISO27001所涵蓋的11個與信息安全管理系統(tǒng)相關(guān)的方面，包括信息安全策略、安全組織、資產(chǎn)分類與控制、人員安全、物理與環(huán)境安全、通信與操作管理、訪問控制、系統(tǒng)開發(fā)與維護(hù)、安全事件管理、業(yè)務(wù)連續(xù)性管理合規(guī)性。

 

2.2.企業(yè)安全技術(shù)評估。
基于資產(chǎn)安全等級的分類，通過信息設(shè)備的安全掃描和安全設(shè)備的配置，檢查和分析現(xiàn)有網(wǎng)絡(luò)設(shè)備、服務(wù)器系統(tǒng)、終端和網(wǎng)絡(luò)安全架構(gòu)的安全現(xiàn)狀和弱點(diǎn)，為安全加固提供依據(jù)。

安全評估是企業(yè)具有代表性的關(guān)鍵應(yīng)用。關(guān)鍵應(yīng)用的評價(jià)方法是滲透測試，在應(yīng)用評價(jià)中識別應(yīng)用系統(tǒng)的威脅和弱點(diǎn)，分析其與應(yīng)用系統(tǒng)安全目標(biāo)的差距，為后期改造提供依據(jù)。

說到安全評估，必須有方法論。我們以ISO27001為核心，借鑒國際上常用的幾種評估模型的優(yōu)勢，結(jié)合企業(yè)自身的特點(diǎn)，建立風(fēng)險(xiǎn)評估模型:

風(fēng)險(xiǎn)評估模型主要包括四個因素:信息資產(chǎn)、弱點(diǎn)、威脅和風(fēng)險(xiǎn)。每個要素都有自己的屬性，信息資產(chǎn)的屬性是資產(chǎn)價(jià)值，弱點(diǎn)的屬性是在現(xiàn)有控制措施的保護(hù)下被威脅利用的可能性和被威脅利用后對資產(chǎn)的嚴(yán)重影響。威脅屬性是威脅的可能性和危害的嚴(yán)重程度，風(fēng)險(xiǎn)屬性是風(fēng)險(xiǎn)水平。風(fēng)險(xiǎn)評估采用定性風(fēng)險(xiǎn)評估方法，分級賦值。

三、規(guī)劃體系建設(shè)方案。
企業(yè)信息安全問題的根源分布在技術(shù)、人員和管理層面。要統(tǒng)一規(guī)劃和建立企業(yè)信息安全體系，最終實(shí)施管理措施和技術(shù)措施，確保信息安全。

規(guī)劃體系建設(shè)方案是在風(fēng)險(xiǎn)評估的基礎(chǔ)上，對企業(yè)存在的安全風(fēng)險(xiǎn)提出安全建議，增強(qiáng)系統(tǒng)的安全性和抗攻擊性。

未來1-2年，通過信息安全體系的建立和實(shí)施，建立安全組織，進(jìn)行技術(shù)安全審計(jì)，改造內(nèi)外網(wǎng)絡(luò)隔離，部署安全產(chǎn)品，實(shí)現(xiàn)以流程為導(dǎo)向的轉(zhuǎn)型。未來3-5年，通過完善的信息安全體系、相應(yīng)的物理環(huán)境改造和業(yè)務(wù)連續(xù)性項(xiàng)目建設(shè)，將企業(yè)建設(shè)成為注重管理、預(yù)防為主、防控相結(jié)合的先進(jìn)企業(yè)。

四、建立信息安全管理體系認(rèn)證。
信息安全管理系統(tǒng)認(rèn)證是基于信息安全模型和企業(yè)信息化。建立信息安全管理系統(tǒng)的核心可以充分發(fā)揮六種能力:預(yù)警(Warn)、保護(hù)(Protect)、檢測(Detect)、反應(yīng)(Response)、恢復(fù)(Recover)和反擊(Counter-attack)。系統(tǒng)應(yīng)該兼顧外部和內(nèi)部的功能。

安全體系的建設(shè)涉及安全管理體系的完善；第二，涉及信息安全技術(shù)。首先，安全管理體系的主要內(nèi)容包括企業(yè)信息系統(tǒng)的總體安全政策、安全技術(shù)策略和安全管理策略?？傮w安全政策涉及安全組織、安全管理制度、人員安全管理、安全運(yùn)行維護(hù)等安全制度。安全技術(shù)策略涉及信息域劃分、業(yè)務(wù)應(yīng)用安全等級、安全保護(hù)思路、進(jìn)一步統(tǒng)一管理、系統(tǒng)分級、網(wǎng)絡(luò)互聯(lián)、容災(zāi)備份、集中監(jiān)控等要求。