資訊安全管理體系建設論文

資訊安全管理體系是組織在整體或特定範圍內建立資訊安全方針和目標，以及完成這些目標所用方法的體系。下面是關於資訊安全管理體系建設論文的內容，歡迎閱讀！

摘要：近年來，隨着行業一體化“數字菸草”構建要求提高，行業的資訊化建設進程全面加速，資訊化已融入到企業基礎管理、生產製造、管理創新等諸多業務環節，資訊化與工業化已逐步走向深度融合之路。伴隨着兩化融合的發展，資訊安全問題日益嚴重，逐漸成爲影響業務執行、制約企業發展的重要因素之一。因此，企業在開展資訊化建設的同時，必須注重資訊安全保障工作。然而保證企業資訊安全不能單純利用技術手段，必須“技術”與“管理”並重才能保障企業資訊安全。筆者針對企業資訊安全現狀，依據國家、行業相關標準，闡述對企業資訊安全管理體系建設的理解和看法。

關鍵詞：資訊化；資訊安全；安全管理

1、企業資訊安全現狀

近幾年，隨着行業資訊化建設逐步深入，伴隨着OA辦公自動化、ERP、捲菸生產經營決策管理和MES生產製造執行等系統相繼投入使用，與生產經營息息相關的關鍵業務對資訊系統的依賴程度越來越高，企業也逐步認識到資訊安全的重要性，企業員工的安全意識也都得到逐步提高。行業也相繼出臺了菸草行業資訊安全保障體系建設指南和各類資訊安全制度，並透過這幾年資訊安全檢查工作，促進企業的資訊安全水平得到了進一步提高。

由於企業資訊安全意識不斷提高，企業不斷加大資訊安全方面的投入，如建立標準化的機房、購買與部署各類資訊安全軟件和設備等。但是木馬、病毒、垃圾郵件、間諜軟件、惡意軟件、殭屍網絡等也隨着計算機技術的發展不斷更新，攻擊手段也越發隱蔽和多樣化。企業不僅要應對外部的攻擊，也要應對來自於企業內部的資訊安全威脅，安全形勢不容樂觀。企業的資訊安全已不僅僅是技術問題，還需要藉助管理手段來保障。企業如果不能正確樹立資訊風險導向意識，一味注重“技術”的作用，忽略“管理”的重要性，就很難發揮資訊安全技術的作用，無法把企業的各項資訊安全措施落到實處，企業的資訊安全也就無從談起。只有切實發揮管理作用，企業的資訊安全才能得到有效保障。

2、企業資訊安全體系架構

在談到資訊安全時，大多數剛接觸的人都比較疑惑，都說保障資訊安全十分重要，那到底什麼是資訊安全呢？下面就簡單介紹一下資訊安全的概念以及企業的資訊安全體系架構。

2.1資訊。對企業來說，資訊是一種無形資產，具有一定商業價值，以電子、影像、話語等多種形式存在，必須進行保護。

2.2資訊安全。主要是指防止資訊泄露、被篡改、被損壞或被非法辨識與控制，避免造成不良影響或者資產損失。

2.3企業資訊安全體系架構。在保障企業資訊安全過程中，資訊安全技術是保障資訊安全的重要手段。透過上文對企業資訊安全現狀的分析，不難看出企業資訊安全體系主要分爲技術、管理兩個重要體系，進一步細分則涉及安全運維方面。

2.3.1資訊安全技術體系作用。主要是指透過部署資訊安全產品，合理制定安全策略，實現防止資訊泄露、被篡改、被損壞等安全目標。資訊安全產品主要是指實現資訊安全的工具平臺，如防火牆類產品、防攻擊類產品、殺毒軟件類產品和密碼類產品等，而資訊安全技術則是指實現資訊安全產品的技術基礎。

2.3.2資訊安全管理體系作用。完善資訊安全組織機構、制度，細化職責分工，制定執行標準，確保日常管理、檢查等制度有效執行，最大程度發揮資訊安全技術體系作用，確保資訊安全相關保護措施有效執行。透過上文簡單介紹，對資訊安全以及資訊安全系統有了大概瞭解。可以看出單純藉助技術或管理無法保障企業資訊安全，因此，建立企業資訊安全管理體系的重要性也就不言而喻。

3、資訊安全管理體系概念

3.1資訊安全管理。運用技術、管理手段，做好資訊安全工作整體規劃、組織、協調與控制，確保實現資訊安全目標。

3.2管理體系。體系是指相互關聯和相互作用的一組要素，而管理體系則是建立方針和目標並實現這些目標的體系。

3.3資訊安全管理體系（ISMS）。在一定組織範圍內建立、完成資訊安全方針和目標，採取或運用方法的體系。作爲管理活動最終結果，包含方針、原則、目標、方法、過程、覈查表等衆多要素。

3.4建立資訊安全管理體系的目的。作爲企業總管理體系的一個子體系，目的是建立、實施、執行、監視、評審、保持和改進資訊安全。

3.5資訊安全管理體系涉及的要素。

3.5.1資訊安全組織機構。明確職責分工，確保資訊安全工作組織與落實。

3.5.2資訊安全管理體系檔案。編制資訊安全管理體系的方針、過程、程序和其他必需的檔案等。

3.5.3資源。提供體系運轉所需的資金、設備與人員等。

4資訊安全管理體系機構設定以及作用

在建立企業的資訊安全管理體系之前，如果沒有設定相應的資訊安全組織機構，那麼建立體系所需要的資源（資金、人員等）就無法得到保障，企業的資訊安全制度和策略也就無法貫徹落實，企業的資訊安全管理體系就形同虛設起不到任何作用。因此，企業在建立資訊安全管理體系前必須建立健全資訊安全組織機構，機構設定可以根據職責分爲三個層次。

4.1資訊安全決策機構。資訊安全決策機構處於安全組織機構的第一個層次，是本單位資訊安全工作的最高管理機構。應以單位主要領導負責，對資訊安全規劃、資訊安全策略和資訊安全建設方案等進行審批，併爲企業資訊安全工作提供各類必要資源。

4.2管理機構。處於安全組織機構的.第二個層次，在決策機構的領導下，主要負責企業日常資訊安全的管理、監督以及安全教育與培訓等工作，此類工作大部分都由企業的資訊化部門承擔。

4.3執行機構。處於資訊安全組織機構的第三個層次，在管理機構的領導下，負責保證資訊安全技術體系的有效執行及日常維護，透過具體技術手段落實安全策略，消除安全風險，以及發生安全事件後的具體響應和處理，執行機構人員可以由資訊中心技術人員與各部門專職或兼職資訊安全員組成。

5資訊安全管理體系的建立

ISO/IEC27001：200x標準的“建立ISMS”章節中，已明確了資訊安全管理體系建立的10項強制性要求和步驟。企業應結合自身實際情況，遵照這些內容和步驟，建立自己的資訊安全管理體系，並形成相應的體系檔案。

5.1建立的步驟。

（1）結合企業實際，明確體系邊界與範圍，並編制體系範圍檔案。

（2）明確體系策略，構建目標框架、風險評價的準則等，形成方針檔案。

（3）確定風險評估方法。

（4）識別資訊安全風險，主要包括資訊安全資產、責任、威脅以及造成的後果等。

（5）進行安全風險分析評價，編制評估報告，確定資訊安全資產保護清單。

（6）明確安全保護措施，編制風險處理計劃。

（7）制定工作目標、措施。

（8）管理者審覈、批准所有殘餘風險。

（9）經管理層授權實施和執行安全體系。

（10）準備適用性聲明。

5.2資訊安全管理體系涉及的檔案。

檔案作爲體系的主要元素，必須與ISO/IEC27001：2005標準保持一致，同時也要結合企業實際，確保員工遵照要求嚴格執行。而且也要符合企業的實際情況和資訊安全需要。在實際工作中，企業員工應按照檔案要求嚴格執行。

5.2.1體系檔案類型主要涉及方針、程序與記錄三類。方針類主要是指管理體系方針與資訊安全方針，涵蓋硬件、網絡、軟件、訪問控制等；程序類主要是指“過程檔案”，涉及輸入、處理與輸出三個環節，結果常以“記錄”形式出現；記錄類主要是記錄程序檔案結果，常以是表格形式出現。至於適用性聲明檔案，企業應結合自身情況，參照ISO/IEC27001：200x標準的附錄A，有選擇性地作出聲明，並形成聲明檔案。

5.2.2體系必須具備的檔案。主要包括方針、風險評估、處理、檔案控制、記錄控制、內部審覈、糾正與預防、控制措施有效性測量、管理評審與適用性聲明等。

5.2.3任意性檔案。企業可以針對自身業務、管理與資訊系統等情況，制定自己獨有的資訊方針、程序類檔案。

5.2.4檔案的符合性。檔案必須符合相關法律法規、ISO/IEC27001：2005標準以及企業實際要求，保證與企業其他體系檔案協調一致，避免衝突，同時在文字描述準確且無二義。

6體系實施與執行

主要包括策略控制措施、過程和程序，涉及制定和實施風險處理計劃、選擇控制措施與驗證有效性、安全教育培訓、執行管理、資源管理以及安全事件應急處理等。

7體系的監視與評審

主要指對照策略、目標與實際執行情況，監控與評審執行狀態，主要涉及有效性評審、控制措施測試驗證、風險評估、內部審覈、管理評審等環節，並根據評審結果編制與完善安全計劃。

8體系的保持和改進

主要是依據監視與評審結果，有針對性地持續改進。主要包括改進措施、制定完善措施、整改總結等，同時需相關方進行溝通，確保達到預計改進標準。

9結語

從上文不難看出，資訊安全管理體系建設的四個主要環節就是建立、實施和執行、監視和評審以及保持和改進幾個部分。但是，這不是資訊安全管理體系建設的全部。實際上資訊安全管理體系建設最核心和最關鍵的部分，就是把建立（P規劃）、實施和執行（D實施）、監視和評審（C檢查）以及保持和改進（A處置）四個重要環節形成PDCA的動態閉環的管理流程，這種管理方法就是PDCA循環，也稱“戴明環”。只有按照P-D-C-A的順序持續循環，體系才能高效運轉與不斷完善，資訊安全管理水平才能不斷提升。

同時資訊安全管理也必須結合企業實際，不斷嘗試與使用新的資訊安全技術，做到與時俱進，才能符合企業實際情況和發展需要，不會隨着時間的推移與現實嚴重脫節，慢慢失去作用。