ISO27001信息安全管理體系（Information Security Management System）作為組織完整的管理體系中 的一個(gè)重要環(huán)節(jié),，構(gòu)成了信息安全具有能動(dòng)性的部分,，是指導(dǎo)和控制組織的關(guān)于信息安全風(fēng)險(xiǎn)的相互協(xié)調(diào)的活 動(dòng)，其針對(duì)對(duì)象就是組織的信息資產(chǎn)。了解信息安全管理的方法,，我們必須先明確企業(yè)或組織的信息安全需求,。 一般來說，企業(yè)的信息安全需求主要有三個(gè)來源,，他們分別是法律法規(guī)與合同條約的要求,；組織的原則、目標(biāo)和 規(guī)定,；風(fēng)險(xiǎn)評(píng)估的結(jié)果等,。

　　信息安全的成敗取決于兩個(gè)因素：技術(shù)和管理，人們常說,，三分技術(shù),，七分管理，可見管理對(duì)信息安全的重 要性,，我們可以把安全技術(shù)比作信息安全的構(gòu)筑材料,，那么安全管理則是真正的粘合劑和催化劑。現(xiàn)實(shí)世界里,， 大多數(shù)安全事件的發(fā)生和安全隱患的存在,，與其說是技術(shù)上的原因，不如說是管理不善造成的,，理解并重視管理 對(duì)于信息安全的關(guān)鍵作用,，對(duì)于真正實(shí)現(xiàn)信息安全目標(biāo)來說尤其重要。信息安全不是產(chǎn)品的簡(jiǎn)單堆積,，也不是一 次性的靜態(tài)過程,，它是人員、技術(shù),、操作這三種要素的緊密結(jié)合的系統(tǒng)工程,，是不斷演進(jìn)、循環(huán)發(fā)展的動(dòng)態(tài)過 程,。

　　信息安全管理是指導(dǎo)和控制組織的關(guān)于信息安全風(fēng)險(xiǎn)的相互協(xié)調(diào)的活動(dòng),。首先應(yīng)該制定信息安全的策略方 針，它是信息安全管理的導(dǎo)向和支持,，在此基礎(chǔ)上選擇控制目標(biāo)與控制方式,，企業(yè)和組織還需考慮控制成本與風(fēng) 險(xiǎn)平衡的原則，將風(fēng)險(xiǎn)降低到組織可接受的水平,，整個(gè)管理過程需要全員的參與,，實(shí)施動(dòng)態(tài)管理。實(shí)施安全管 理,，還應(yīng)遵循管理的一般模式——PDCA模型,。

　　PDCA模型，即Plan、Do,、Check和Act,，是一種持續(xù)改進(jìn)的管理模式，見下圖所示,。

　　image.png

　　計(jì)劃（Plan）——根據(jù)風(fēng)險(xiǎn)評(píng)估結(jié)果,、法律法規(guī)要求、組織業(yè)務(wù)運(yùn)作自身需要來確定控制目標(biāo)與控制措施,；

　　實(shí)施（Do）——實(shí)施所選的安全控制措施,；

　　檢查（Check）——依據(jù)策略、程序,、標(biāo)準(zhǔn)和法律法規(guī),，對(duì)安全措施的實(shí)施情況進(jìn)行符合性檢查。 PDCA模型是一種抽象的模型,，它把相關(guān)的資源和活動(dòng)抽象為過程進(jìn)行管理,，具有廣泛通用性。

　　措施（Action）——針對(duì)檢查結(jié)果采取應(yīng)對(duì)措施,，改進(jìn)安全狀況

　　PDCA是順序依次進(jìn)行的,，依靠組織的力量推動(dòng)，周而復(fù)始,，不斷循環(huán)，持續(xù)改進(jìn),，組織中的每個(gè)部門和個(gè)人,，在履行相關(guān)職責(zé)時(shí)，都是基于PDCA這個(gè)過程的,，組織的內(nèi)部管理,，就構(gòu)成了大環(huán)套小環(huán)層層遞進(jìn)的模式，每一次循環(huán)結(jié)束,，都要對(duì)其進(jìn)行總結(jié),，鞏固成績(jī)，改進(jìn)不足,，同時(shí)提出新的目標(biāo),，以便進(jìn)入下一次更高級(jí)的循環(huán)。

　　ISO27000/ISO27001標(biāo)準(zhǔn)對(duì)于信息安全管理體系的定義如下圖所示：

　　ISO27001信息安全管理可操作的一般過程和相應(yīng)的活動(dòng)包括：

　　1,、確定組織的信息安全目標(biāo)和戰(zhàn)略

　　2,、開發(fā)信息安全策略

　　3、進(jìn)行風(fēng)險(xiǎn)評(píng)估（Risk Assessment）,，明確組織的信息安全需求,，具體活動(dòng)包括：

　　3.1、制定風(fēng)險(xiǎn)評(píng)估計(jì)劃（明確范圍和責(zé)任，采集相關(guān)信息,，描述目標(biāo)系統(tǒng)）,；

　　3.2、識(shí)別并評(píng)價(jià)信息資產(chǎn),，理解資產(chǎn)的價(jià)值和敏感性,；

　　3.3、識(shí)別并評(píng)估威脅,，理解威脅發(fā)生的可能性,；

　　3.4、識(shí)別并評(píng)價(jià)弱點(diǎn),，理解弱點(diǎn)被利用的容易程度,；

　　3.5、評(píng)估風(fēng)險(xiǎn),，確定風(fēng)險(xiǎn)等級(jí),；

　　3.6、評(píng)估并比較現(xiàn)有的安全措施（控制）,，找出目標(biāo)與現(xiàn)狀之間的差距,；

　　3.7、根據(jù)已經(jīng)明確的需求來推薦安全措施,。

　　4,、進(jìn)行風(fēng)險(xiǎn)消減（Risk Mitigation），具體活動(dòng)包括：

　　4.1,、確定風(fēng)險(xiǎn)消減策略,，以便減少、規(guī)避,、轉(zhuǎn)嫁或接受風(fēng)險(xiǎn),；

　　4.2、選擇安全措施（控制）,；

　　4.3,、制定安全計(jì)劃，明確安全措施的構(gòu)建和實(shí)施方案,；

　　4.4,、實(shí)施安全計(jì)劃和策略；

　　4.5,、對(duì)安全計(jì)劃和策略的實(shí)施結(jié)果進(jìn)行測(cè)試和檢查,。

　　5、進(jìn)行風(fēng)險(xiǎn)控制（Risk Control）,，具體包括：

　　5.1,、信息系統(tǒng)的維護(hù)與操作,；

　　5.2、安全意識(shí),、培訓(xùn)與教育,；

　　5.3、對(duì)信息系統(tǒng)的運(yùn)行和安全措施的效力進(jìn)行監(jiān)視,；

　　5.4,、事件響應(yīng)；

　　5.5,、再評(píng)估與認(rèn)證,。

　　6、配置管理（Configuration Management）,，確保系統(tǒng)發(fā)生的變化不會(huì)降低安全措施的效力和組織的整體安全,。

　　7、變更管理（Change Management）,，當(dāng)信息系統(tǒng)發(fā)生變化時(shí),，識(shí)別新的安全需求。

　　8,、應(yīng)急計(jì)劃（Contingency Planning）,，包括業(yè)務(wù)連續(xù)性計(jì)劃、災(zāi)難恢復(fù)計(jì)劃等,。

　　對(duì)應(yīng)PCDA模型,，信息安全目標(biāo)與戰(zhàn)略的確定、信息安全策略開發(fā)以及風(fēng)險(xiǎn)評(píng)估屬于計(jì)劃階段（Plan）,，風(fēng)險(xiǎn)消減屬于實(shí)施階段（Do）,，風(fēng)險(xiǎn)控制、配置管理,、變更管理、應(yīng)急計(jì)劃以及安全意識(shí)培訓(xùn)等活動(dòng)都可以歸入到檢查（Check）和措施（Action）階段,。我們所強(qiáng)調(diào)的信息安全管理模式,，是由風(fēng)險(xiǎn)驅(qū)動(dòng)的信息安全管理模 式，是對(duì)組織的信息安全風(fēng)險(xiǎn)進(jìn)行控制和指導(dǎo)的相互協(xié)調(diào)的活動(dòng),，風(fēng)險(xiǎn)管理是其中的核心,。