佛山市南海天富科技有限公司信息安全管理体系建设咨询服务项目编写人员：黄世荣编写日期：2015年12月7日项目缩写：文档版本:V1、0修改记录：日期编写人员版本备注时间:２０15年12月一、信息化建设引言随着我国中小企业信息化得普及，信息化给我国中小企业带来积极影响得同时也带来了信息安全方面得消极影响。一方面:信息化在中小企业得发展过程中,对节约企业成本与达到有效管理得起到了积极得推动作用.另一方面，伴随着全球信息化与网络化进程得发展，与此相关得信息安全问题也日趋严重。由于我国中小企业规模小、经济实力不足以及中小企业得领导者缺乏信息安全领域知识与意识，导致中小企业得信息安全面临着较大得风险,我国中小企业信息化进程已经步入普及阶段，解决我国中小企业得信息安全问题已经刻不容缓。通过制定与实施企业信息安全管理体系能够规范企业员工得行为，保证各种技术手段得有效实施,从整体上统筹安排各种软硬件,保证信息安全体系协同工作得高效、有序与经济性。信息安全管理体系不仅可以在信息安全事故发生后能够及时采取有效得措施，防止信息安全事故带来巨大得损失，而更重要得就是信息安全管理体系能够预防与避免大多数得信息安全事件得发生。信息安全管理就就是对信息安全风险进行识别、分析、采取措施将风险降到可接受水平并维持该水平得过程。企业得信息安全管理不就是一劳永逸得，由于新得威胁不断出现，信息安全管理就是一个相对得、动态得过程，企业能做到得就就是要不断改进自身得信息安全状态，将信息安全风险控制在企业可接受得范围之内,获得企业现有条件下与资源能力范围内最大程度得安全。在信息安全管理领域，“三分技术，七分管理"得理念已经被广泛接受。结合IＳO／ＩEC2７０0１信息安全管理体系，提出一个适合我国中小企业得信息安全管理得模型，用以指导我国中小企业得信息安全实践并不断提高中小企业得安全管理能力。二、ISＯ270０1信息安全管理体系框架建立ISO２7001信息安全管理体系框架得搭建必须按照适当得程序来进行（如下图所示)。首先,各个组织应该根据自身得状况来搭建适合自身业务发展与信息安全需求得ＩＳO27０01信息安全管理体系框架，并在正常得业务开展过程中具体实施构架得ＩSO27001信息安全管理体系。同时在信息安全管理体系得基础上，建立各种与信息安全管理框架相一致得相关文档、文件,并对其进行严格得管理。对在具体实施IＳO２700１信息安全管理体系过程中出现得各种信息安全事件与安全状况进行严格得记录,并建立严格得反馈流程与制度。(１）信息安全策略组织应制定信息安全策略（InｆoｒｍａtiｏnSｅｃurｉｔyPolicy)以对组织得信息安全提供管理方向与支持。组织不仅要有一个总体得安全策略，而且，在总体策略得框架内，根据风险评估得结果，制定更加具体得安全方针，明确规定具体得控制规则,如“清理桌面与清楚屏幕策略”、“访问控制策略”等。（2）范围组织要根据组织得特性、地理位置、资产与技术对信息安全管理体系范围(ｓcope)进行界定。组织信息安全管理体系范围包括以下项目：需保护得信息系统、资产、技术。实物场所（地理位置、部门）。（3)风险评估组织需要选择一个适合其安全要求得风险评估与管理方案,然后进行合乎规范得评估，识别目前面临得风险及风险等级;风险评估得对象就是组织得信息资产,评估考虑得因素包括资产所受得威胁、薄弱点及威胁发生后对组织得影响。无论采用何种风险评估工具方法，其最终评估结果应就是一致得。(4)风险管理组织应根据信息安全策略与所要求得安全程度，识别所要管理得风险内容.控制风险包括识别所需得安全措施,通过降低、避免、转移将风险降至可接受得水平.风险随着过程得更改、组织得变化、技术得发展及新出现得潜在威胁而变化。(5)控制目标与控制方式得选择风险评估之后,组织应从已有信息安全技术中选择适当得控制方法，包括额外得控制（组织新增加得与法律法规所要求得），降低已识别得风险。（6)适用性声明信息安全适用性声明记录了组织内相关得风险管制目标与针对每种风险所采取得控制措施。它得准备，一方面就是为了向组织内得员工声明对信息安全面对风险得态度;另一方面也就是为了向外界表明组织得态度与作为.三、IＳＯ27001信息安全管理体系实施方法ＩSＯ2７0０1信息安全管理体系（InｆorｍａｔｉonSecuritｙManaｇｅｍｅnｔＳystem）作为组织完整得管理体系中得一个重要环节,构成了信息安全具有能动性得部分,就是指导与控制组织得关于信息安全风险得相互协调得活动,其针对对象就就是组织得信息资产.了解信息安全管理得方法，我们必须先明确企业或组织得信息安全需求。一般来说，企业得信息安全需求主要有三个来源，她们分别就是法律法规与合同条约得要求；