一,、信息安全管理體系概述 

自古以來信息就扮演著極為重要的角色，信息及信息的使用關(guān)乎國家,、部族和組織的興衰,。隨著世界文明進(jìn)入到全球信息社會，信息通過網(wǎng)絡(luò)和信息系統(tǒng)傳播到不同的領(lǐng)域和角落,，信息的交流推動或制約著經(jīng)濟(jì)和社會的發(fā)展,。

信息被認(rèn)為是當(dāng)今任何一個組織的生命之血脈，確保信息能為需要的人所獲取和使用的同時,，又能得到保護(hù) 其安全是現(xiàn)代業(yè)務(wù)運(yùn)行的基本要求,。

信息是一種資產(chǎn)。如同其他重要的業(yè)務(wù)資產(chǎn)一樣,，是組織業(yè)務(wù)運(yùn)行的基礎(chǔ),，需要加以保護(hù)。但它又不同于傳 統(tǒng)觀念的資產(chǎn),。傳統(tǒng)類的組織資產(chǎn)通常以實(shí)體形式存在,，如設(shè)備、建筑場所,、文件,、錢財?shù)取Ｆ浒踩Ｗo(hù)的考慮主要關(guān)注于物理設(shè)防,，如警衛(wèi),、封閉的空間、器械等,。隨著信息技術(shù)的快速發(fā)展,，當(dāng)今的組織資產(chǎn)廣泛增加了各種基于電子媒體形式的資產(chǎn)，如虛擬資產(chǎn),、知識產(chǎn)權(quán)等,。資產(chǎn)的交易、轉(zhuǎn)移更是可以借助電子和網(wǎng)絡(luò),，以數(shù)字傳輸?shù)姆绞綄?shí)現(xiàn),，組織的財富以大量的電子數(shù)據(jù)的形式存在。由于信息及信息的存儲,、處理,、傳輸和使用以及相關(guān) 的設(shè)施和人員共同構(gòu)成了一個復(fù)雜的環(huán)境，保障信息安全已經(jīng)是一種系統(tǒng)性的工作,，而不僅僅是針對信息的保護(hù),。在當(dāng)前信息技術(shù)如此迅速發(fā)展和廣泛應(yīng)用的環(huán)境下,，一個組織如何才能有效率地實(shí)現(xiàn)信息安全，抵御組織內(nèi) 部和外部對信息資產(chǎn)和信息處理設(shè)施的各種威脅,，確保業(yè)務(wù)的成功運(yùn)行是各界普遍關(guān)注的焦點(diǎn)議題,。

信息安全是一個很寬泛的概念，GB/T22080,、ISO27001標(biāo)準(zhǔn)所定義的信息安全為“保持信息的保密性,、完 整性、可用性,；另外也可包括例如真實(shí)性,、可核查性、不可否認(rèn)性和可靠性等”,。這種定義已經(jīng)得到廣泛認(rèn)同,， 其中保密性(Confidentiality)、完整性(Integrity),、可用性(Availability)（簡稱CIA）是信息安全的最重要的三 個維度,。信息安全包括采取和管理適當(dāng)?shù)目刂拼胧扇〉目刂拼胧┦强紤]了來源廣泛的威脅,，其目的是保 持組織業(yè)務(wù)的成功和連續(xù)性,。

早期人們對保障信息安全的考慮往往著眼于技術(shù)手段，期望通過使用先進(jìn)的技術(shù)方法和工具來達(dá)到某種安 全,。然而在信息系統(tǒng)的設(shè)計和開發(fā)中對信息安全難以預(yù)測和全面解決,。實(shí)踐證明單純采用技術(shù)手段來保護(hù)信息和 信息系統(tǒng)安全的作用是有限的，在缺乏良好管理的支撐下,，有些技術(shù)甚至是無效的,。因此，保證組織信息安全的 一個明智選擇應(yīng)該是實(shí)施信息安全管理體系(Information Security Management Systems簡稱ISMS）,，通過 信息安全管理體系并結(jié)合各種適用的控制措施（包括管理,、技術(shù)和運(yùn)行三方面）才是組織信息安全的真正保障。

ISO27001信息安全管理體系是一個組織為保護(hù)信息資產(chǎn),、實(shí)現(xiàn)其業(yè)務(wù)目標(biāo)而建立,、實(shí)施、運(yùn)行,、監(jiān)視,、評 審、保持和改進(jìn)的管理架構(gòu),，包括針對信息安全管理的組織結(jié)構(gòu),、方針,、規(guī)劃,、職責(zé),、過程、規(guī)程和資源等各方 面,。管理體系的運(yùn)作下,，通過持續(xù)的評估安全風(fēng)險以及對信息資產(chǎn)保護(hù)要求的分析來了解風(fēng)險是否處于組織可接 受的水平、確保安全控制措施的適用性和有效性,，并在必要時有針對性地提升或更新安全措施,，進(jìn)而形成一個對 信息資產(chǎn)持續(xù)保護(hù)的環(huán)境。

組織建立,、實(shí)施與保持信息安全管理體系將為組織帶來如下益處,，包括：

１）強(qiáng)化員工的信息安全意識，規(guī)范組織信息安全行為,；

２）對組織的關(guān)鍵信息資產(chǎn)進(jìn)行全面系統(tǒng)地保護(hù),，保持競爭優(yōu)勢；

３）在信息系統(tǒng)受到侵襲時,，確保業(yè)務(wù)持續(xù)開展并將損失降到最低,；

４）使組織的業(yè)務(wù)合作伙伴和客戶對組織充滿信心。

信息安全管理體系的實(shí)施并非是一項(xiàng)簡單易行的工作,，ISMS的成功需要應(yīng)獲得組織管理層的支持,，特別要 關(guān)注以下基本原則：

１）對信息安全需要的認(rèn)知；

２）指派信息安全職責(zé),；

３）協(xié)調(diào)管理承諾和利益相關(guān)方的利害關(guān)系,；

４）增加社會價值；

５）通過風(fēng)險評估來確定適當(dāng)?shù)目刂拼胧?，使風(fēng)險達(dá)到可接受的水平,；

６）將安全作為一項(xiàng)基本要素融入信息網(wǎng)絡(luò)和系統(tǒng)；

７）對信息安全事件的積極防范和檢測,；

８）對信息安全持續(xù)的再評估,，并在適當(dāng)時加以調(diào)整。

建立并保持一個有效的信息安全管理體系,，應(yīng)采用信息安全管理的相關(guān)標(biāo)準(zhǔn)作為指南,。信息安全管理標(biāo)準(zhǔn)來 源于信息安全領(lǐng)域全球接受的良好實(shí)踐，通過標(biāo)準(zhǔn)可全面了解信息安全管理方面行之有效的原則,、方法和實(shí)踐,， 為組織基于自身環(huán)境確立其實(shí)現(xiàn)信息安全的路線、方針和具體運(yùn)作提供了指南,。信息安全管理標(biāo)準(zhǔn)族是一種得到 廣泛接受和認(rèn)可的參照基準(zhǔn),，可用于組織評估提升安全管理水平。此外,，標(biāo)準(zhǔn)形成了信息安全領(lǐng)域的一種共同語 言和概念基礎(chǔ),，便于各方的交流,。

二、信息安全管理國際標(biāo)準(zhǔn)的產(chǎn)生和發(fā)展 

ISO/IEC 27001標(biāo)準(zhǔn)于1993年由英國貿(mào)易工業(yè)部立項(xiàng),，于1995年英國首次出版BS7799-1:1995《信息安全 管理實(shí)施細(xì)則》,，它提供了一套綜合的、由信息安全最佳慣例組成的實(shí)施規(guī)則,，其目的是作為確定工商業(yè)信息系 統(tǒng)在大多數(shù)情況所需控制范圍的唯一參考基準(zhǔn),，并且適用于大、中,、小組織,。

1998年英國公布標(biāo)準(zhǔn)的第二部分《信息安全管理體系規(guī)范》，它規(guī)定信息安全管理體系要求與信息安全控制要求,，它是一個組織的全面或部分信息安全管理體系評估的基礎(chǔ),，它可以作為一個正式認(rèn)證方案的根據(jù)。 ISO/IEC27000-1與ISO/IEC27000-2經(jīng)過修訂于1999年重新予以發(fā)布,，1999版考慮了信息處理技術(shù),，尤其是在網(wǎng)絡(luò)和通信領(lǐng)域應(yīng)用的近期發(fā)展，同時還非常強(qiáng)調(diào)了商務(wù)涉及的信息安全及信息安全的責(zé)任,。

2000年12月,，ISO/IEC 27000-1:1999《信息安全管理實(shí)施細(xì)則》通過了國際標(biāo)準(zhǔn)化組織ISO的認(rèn)可，正式成為國際標(biāo)準(zhǔn)ISO/IEC17799-1:2000《信息安全管理實(shí)施細(xì)則》,。

2002年9月5日,，ISO/IEC27000-2:2002草案經(jīng)過廣泛的討論之后，終于發(fā)布成為正式標(biāo)準(zhǔn),，同時ISO27000- 2：1999被廢止,。

ISO/IEC 27000：2005標(biāo)準(zhǔn)在2005年公布，并得到了很多國家的認(rèn)可,，是國際上具有代表性的信息安全管理體系標(biāo)準(zhǔn),。

2008年6月19日，由全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會等同采用ISO/IEC27001:2005《信息安全管理體系 要 求》,，僅有編輯性修改,，成為國家推薦性標(biāo)準(zhǔn)GB/T22080—2008《信息安全管理體系 要求》。

2008年6月19日,，由全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會等同采用ISO/IEC27002:2005《信息安全管理實(shí)用規(guī)則》,，成為國家推薦性標(biāo)準(zhǔn)GB/T22081-2008《信息安全管理實(shí)用規(guī)則》。

 2016年8月29日,，由全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會等同采用ISO/IEC27002:2013《信息技術(shù)安全技術(shù)信息安全控制實(shí)用規(guī)則》,，成為國家推薦性標(biāo)準(zhǔn)GB/T22081-2016《信息技術(shù)安全技術(shù)信息安全控制實(shí)踐指南》。

三,、GB/T22080-2016《信息安全管理體系 要求》的內(nèi)容結(jié)構(gòu) 

GB/T22080標(biāo)準(zhǔn)的目的是為建立和運(yùn)行信息安全管理體系提供規(guī)范性的要求,；通過ISMS的運(yùn)行（包括所采用一系列控制措施）,，控制和降低與信息資產(chǎn)相關(guān)的風(fēng)險。

GB/T22080 標(biāo)準(zhǔn)的核心是基于持續(xù)的風(fēng)險評估建立和實(shí)施信息安全管理體系,，并對體系的運(yùn)行進(jìn)行監(jiān)督、 評審和改進(jìn),。為此標(biāo)準(zhǔn)采納了質(zhì)量管理體系標(biāo)準(zhǔn)所共知的運(yùn)行原則 ———戴明的規(guī)劃—實(shí)施—檢查—處置 （PDCA）模型作為實(shí)施,、運(yùn)行、監(jiān)視和改進(jìn)信息安全管理體系的過程方法,。這就使得GB/T22080與其他管理體系標(biāo)準(zhǔn)（如GB/T19001質(zhì)量管理體系和GB/T24001環(huán)境管理體系等）保持協(xié)調(diào),，便于使信息安全管理體系的實(shí)施和運(yùn)行與一個組織內(nèi)的其他管理體系協(xié)調(diào)一致管理。

GB/T22080—2016標(biāo)準(zhǔn)的內(nèi)容結(jié)構(gòu)為：

前言

引言

１　范圍

２　規(guī)范性引用文件

３　術(shù)語和定義

４　組織環(huán)境 

５　領(lǐng)導(dǎo) 

６　規(guī)劃 

７　支持 

８　運(yùn)行

9   績效評價

10  改進(jìn) 

附錄Ａ（規(guī)范性附錄）參考控制目的和控制 

標(biāo)準(zhǔn)第4章至第10章具體描述了一個組織在構(gòu)建和實(shí)施其信息安全管理體系中必須滿足的要求,，涵蓋了管理體系的建立,、實(shí)施、運(yùn)行,、監(jiān)視,、評審、保持和改進(jìn),。附錄Ａ的內(nèi)容則直接來源于GB/T22081第5章至第15章的目標(biāo)和控制措施,，作為規(guī)范性的附錄組織應(yīng)從中選擇適用的控制目標(biāo)和措施并成為信息安全管理體系的組織部分。

信息安全管理體系為一個組織的管理者提供了管理和控制信息資產(chǎn)安全,、降低業(yè)務(wù)風(fēng)險的手段,；通過信息安 全管理體系的實(shí)施來保障組織的信息安全，并持續(xù)地履行顧客,、法律法規(guī)和利益相關(guān)方對信息安全的要求,。

GB/T22080 提出的對實(shí)施、運(yùn)行和改進(jìn)信息安全管理體系的要求,，也是第三方認(rèn)證機(jī)構(gòu)對一個組織信息安 全管理體系進(jìn)行認(rèn)證的依據(jù),。通過認(rèn)證可以證實(shí)一個組織通過業(yè)務(wù)風(fēng)險分析建立并運(yùn)行了信息安全管理體系，實(shí)施有適當(dāng)?shù)目刂拼胧?，安全風(fēng)險處于受控管理之下,，從而使利益相關(guān)方建立安全信任。