企業如何建設ISO27001信息安全管理體系

ISO27001認證體系建設分為四個階段：實施安全風險評估、規劃體系建設方案、建立信息安全管理體系、體系運行及改進。這也符合信息安全管理循環PDCA(Plan-Do-Check-Action)模型及ISO27001要求，即有效地保護企業信息系統的安全，確保信息安全的持續發展。
1、確立范圍

首先是確立項目范圍，可從機構層次及系統層次兩個維度進行范圍的劃分。

①機構層次，可以考慮內外部機構劃分。內部需要覆蓋公司的各個部門，包括總部、事業部、制造本部、技術本部等；外部則包括公司信息系統相連的外部機構，包括供應商、中間業務合作伙伴、及其他合作伙伴等。
②系統層次，可按照物理環境劃分。即支撐信息系統的場所、所處的周邊環境以及場所內保障計算機系統正常運行的設施。包括機房環境、門禁、監控等；網絡系統（構成信息系統網絡傳輸環境的線路介質，設備和軟件）；服務器平臺系統（支撐所有信息系統的服務器、網絡設備、客戶機及其操作系統、數據庫、中間件和Web系統等軟件平臺系統）；應用系統（支撐業務、辦公和管理應用的應用系統）；數據（整個信息系統中傳輸以及存儲的數據）；安全管理（包括安全策略、規章制度、人員組織、開發安全、項目安全管理和系統管理人員在日常運維過程中的安全合規、安全審計等）。
2、安全風險
評估企業信息安全是指保障企業業務系統不被非法訪問、利用和篡改，為企業員工提供安全、可信的服務，保證信息系統的可用性、完整性和保密性。主要包括兩方面的內容：
①企業安全管理類。通過企業的安全控制現狀調查、訪談、文檔研讀和ISO27001的最佳實踐比對，以及在行業的經驗上進行“差距分析”，檢查企業在安全控制層面上存在的弱點，從而為安全措施的選擇提供依據。
②企業安全技術類?；谫Y產安全等級的分類，通過對信息設備進行的安全掃描、安全設備的配置，檢查分析現有網絡設備、服務器系統、終端、網絡安全架構的安全現狀和存在的弱點，為安全加固提供依據。
3、規劃體系
規劃體系建設方案是在風險評估的基礎上，對企業中存在的安全風險提出安全建議，增強系統的安全性和抗攻擊性。建設方案企業信息安全問題根源分布在技術、人員和管理等多個層面，須統一規劃并建立企業信息安全體系，并最終落實到管理措施和技術措施，才能確保信息安全。
比如，在未來1-2年內通過信息安全體系制的建立與實施，建立安全組織，技術上進行安全審計、內外網隔離的改造、安全產品的部署，實現以流程為導向的轉型。在未來的3-5年內，通過完善的信息安全體系和相應的物理環境改造和業務連續性項目的建設，將企業建設成為一個注重管理，預防為主，防治結合的先進型企業。
4、企業信息安全體系建設
企業信息安全體系建立在信息安全模型與企業信息化的基礎上，建立信息安全管理體系核心可以更好的發揮六方面的能力：即預警(Warn)、保護(Protect)、檢測(Detect)、反應(Response)、恢復(Recover)和反擊(Counter-attack)，體系應該兼顧攘外和安內的功能。
安全體系的建設一是涉及安全管理制度建設完善；二是涉及到信息安全技術。首先，針對安全管理制度涉及的主要內容包括企業信息系統的總體安全方針、安全技術策略和安全管理策略等。安全總體方針涉及安全組織機構、安全管理制度、人員安全管理、安全運行維護等方面的安全制度。安全技術策略涉及信息域的劃分、業務應用的安全等級、安全保護思路、說以及進一步的統一管理、系統分級、網絡互聯、容災備份、集中監控等方面的要求。
其次，信息安全技術按其所在的信息系統層次可劃分為物理安全技術、網絡安全技術、系統安全技術、應用安全技術，以及安全基礎設施平臺；同時按照安全技術所提供的功能又可劃分為預防保護類、檢測跟蹤類和響應恢復類三大類技術?？傊?，企業規劃信息安全技術應該結合主流的安全技術以及未來信息系統發展的要求。