ISO27001信息安全管理体系（ISMS）的实施流程/实施方法

在信息化程度日益提高的今天，信息安全正遭受着来自组织内部、外部的威胁，可能是恶意破坏、也可能是意外操作。信息安全就是组织应明确需要保护的信息资源，确保信息的机密性、完整性和可用性，并保持良好的协调状态。信息安全对政府和企业都非常重要，为了防止信息安全事故或事件的发生，尽管在技术方面采取了防火墙和入侵监测系统等防范措施，但是人为因素造成的安全风险仍然占有很高的比率。只有将信息安全问题纳入到组织的管理体系框架内，才能从制度上保证组织更好的符合信息安全相关法律法规，只有将组织的信息安全风险降低到可接受的水平、将技术和管理手段有机地结合在一起，才能从根本上解决信息安全问题，保证业务的连续性。因此，建立信息安全管理体系十分必要。

ISO27001信息安全管理体系（ISMS:Information Security Management  System），它是系统地对组织敏感信息进行管理，涉及到人、程序和信息技术系统。其依据是信息安全管理体系标准——ISO27001和ISO27001清晰地定义了ISMS，并对组织必要的主要安全管理过程进行了详细地描述。通过对组织信息系统十个方面的处置，建立目前完善的信息安全管理体系。总体是对资产管理、威胁防范、内部脆弱性管理的有机结合以防范风险、全面解决信息安全问题。在ISO27001中，技术解决手段仍然是重要部分，包括通信与操作管理、访问控制、系统开发与维护、物理和环境安全等。

ISO27001将信息安全放在一个信息系统中来看待，它引入了安全政策、组织安全，从宏观上将信息安全融入到整个组织的政策中以加强信息安全。同时它也引入了业务持续性管理、符合性等措施，将信息安全与组织的业务紧密联系在一起，将业务目标作为实现信息安全的导向。人的因素仍然是网络安全管理的重要因素，ISO27001相应地引入了人事安全等措施以控制人的因素所造成的风险。ISO27001所设定的ISMS是一个动态的可以自身完善的系统，它通过PDCA过程来实现持续完善。

1. 准备阶段

准备阶段是信息安全管理体系ISMS体系建立的基础，在准备阶段，主要工作过程包括：

①编写项目实施方案；

②成立项目组；

③前期项目培训；

④标准内容培训；

⑤签订保密协议；

⑥项目启动会；

⑦阶段评审。

本阶段应确定的内容：从的业务出发并通过与组织沟通明确信息安全管理体系ISMS项目的实施范围、业务流程所依赖的信息系统、项目实施框架、明确信息安全所涉及到的人员、部门和职能并确定双方在项目中的工作责任和范围、松紧适度的合理的项目日程规划并应获得客户审批。本阶段应该达到以下效果：得到组织高层的实际支持与承诺、双方项目组人员分工明确、客户方项目组人员对信息安全管理体系ISMS以及项目将要涉及到的与之相关的工作有较为清晰的认知，以保证在以下的项目实施过程中能够进行积极、有效地配合。

2. 实施阶段

（1）系统调研。在调研的过程中，调研人员应明确要调研的目标并控制好调研时间与引导好调研内容。针对不同调研对象，应有不同调研侧重点。

（2）业务影响分析。信息安全管理体系ISMS的最终目标是保障组织的各项业务能够顺利、有效的开展。业务分析的目标包括对组织的各级部门核心业务目标、组织架构、关键业务流程进行分析，通过对信息数据流转情况的分析，为后面差距分析和风险分析过程的资产识别、脆弱点确认和威胁描述提供基础。

（3）差距分析。差距分析是实施ISMS的重要环节。差距分析要对调研结果进行综合分析，编写差距分析报告，列出差异之处并计划实际资源投放，为下一步的工作做好铺垫。最好将差距分析报告交给客户方评审，通过后进行下一步工作。

（4）风险评估。风险评估是从信息安全的角度来为组织I T环境进行合理划分，找出技术上的不足和管理上的缺陷，为今后的方案设计和具体实施提供基础。

（5）撰写体系文件。防范措施的选择要综合考虑目前该信息系统的实际情况、客户需求和组织的行业特点（如禁忌）、相关商业活动等进行选择，确定可接受的残余风险，并输出控制手段实施的日期。

信息安全管理体系ISMS体系文件由四级文件构成：方针性文件、规定性文件、程序性文件、记录性文件。

上述内容应得到客户方同意，方可将报告内的控制手段转化为具体行动。在控制措施实施过程中，应注意控制实施进度和资源以努力用最少的资源达到最好的效果，如果不同的进度应用的是相同的资源，则可以考虑在其重叠的部分同时进行。

3. 试运行及改善阶段

在信息安全管理体系ISMS正式运行前，应对体系进行试运行。结合信息系统的实际情况、客户需要、项目特点等确定试运行的时间。在信息安全管理体系ISMS试运行之前，应与组织高管进行充分沟通，得到必要的支持以及明确要做的具体工作，同时要进行信息安全管理体系ISMS的推广培训以减少体系运行的阻力，在培训中要做到：根据组织的规模选择培训对象、针对不同的培训对象培训不同的内容。在体系试运行过程中，审核员应对信息安全管理体系ISMS进行评审，并应保持跟组织中层管理者的充分交流，发现有问题的地方，进行相应的调整以确保信息安全管理体系ISMS的建立。

建立信息安全管理体系ISMS并不是组织信息安全的终点，后续的维护和改善在某种意义上更为重要。信息安全的最大挑战在于必须面对各种各样的威胁源、不断更新和不可预知的方法、在不确定的时间对阻止重要信息资产产生破坏，所以必须要有能够进行持续改善的绩效管理。对信息安全管理体系ISMS长期的维护和不断改善才能确保信息系统的安全与时俱进，至少半年应该做一次全面审核。如果项目条件允许，那么制作一个全面而均衡的量测体系则会为ISMS的绩效管理提供较准确的评测尺度以能够持续而有效的改进信息安全管理体系ISMS。