1.1信息安全信息安全是指為數(shù)據(jù)處理系統(tǒng)采取的技術(shù)和管理上的安全保護(hù)，保護(hù)計(jì)算機(jī)硬件、軟件、數(shù)據(jù)不因偶然的或惡意的原因而遭到破壞、更改、顯露，系統(tǒng)連續(xù)可靠正常地運(yùn)行，信息服務(wù)不中斷。這里既包含了層面的概念，又包含了屬性的概念。1.1.1信息安全技術(shù)為了保障信息的機(jī)密性、完整性、可用性和可控性，必須采用相關(guān)的技術(shù)手段。這些技術(shù)手段是信息安全體系中直觀的部分，任何一方面薄弱都會產(chǎn)生巨大的危險(xiǎn)。因此，應(yīng)該合理部署、互相聯(lián)動，使其成為一個有機(jī)的整體。具體用到的信息安全技術(shù)介紹如下：(1)加解密技術(shù)。在傳輸過程或存儲過程中進(jìn)行信息數(shù)據(jù)的加解密，典型的加密體制可采用對稱加密和非對稱加密。(2)VPN技術(shù)。VPN即虛擬專用網(wǎng)，通過一個公用網(wǎng)絡(luò)(通常是因特網(wǎng))建立一個臨時的、安全的連接，是一條穿過混亂的公用網(wǎng)絡(luò)的安全、穩(wěn)定的隧道。通常VPN是對企業(yè)內(nèi)部網(wǎng)的擴(kuò)展，可以幫助遠(yuǎn)程用戶、公司分支機(jī)構(gòu)、商業(yè)伙伴及供應(yīng)商與公司的內(nèi)部網(wǎng)建立可信的安全連接，并保證數(shù)據(jù)的安全傳輸。(3)防火墻技術(shù)。防火墻在某種意義上可以說是一種訪問控制產(chǎn)品。它在內(nèi)部網(wǎng)絡(luò)與不安全的外部網(wǎng)絡(luò)之間設(shè)置障礙，防止外界對內(nèi)部資源的非法訪問，以及內(nèi)部對外部的不安全訪問。(4)入侵檢測技術(shù)。入侵檢測技術(shù)是防火墻的合理補(bǔ)充，幫助系統(tǒng)防御網(wǎng)絡(luò)攻擊，擴(kuò)展系統(tǒng)管理員的安全管理能力，提高信息安全基礎(chǔ)結(jié)構(gòu)的完整性。入侵檢測技術(shù)是從計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)中的若干關(guān)鍵點(diǎn)收集信息，并進(jìn)行分析，檢查網(wǎng)絡(luò)中是否有違反安全策略的行為和遭到襲擊的跡象。(5)安全審計(jì)技術(shù)。安全審計(jì)包含日志審計(jì)和行為審計(jì)。日志審計(jì)協(xié)助管理員在受到攻擊后查看網(wǎng)絡(luò)日志，從而評估網(wǎng)絡(luò)配置的合理性和安全策略的有效性，追溯、分析安全攻擊軌跡，并能為實(shí)時防御提供手段。通過對員工或用戶的網(wǎng)絡(luò)行為進(jìn)行審計(jì)，可確認(rèn)行為的規(guī)范性，確保管理的安全。1.1.2信息安全管理信息安全管理是指通過維護(hù)信息的機(jī)密性、完整性和可用性來管理及保護(hù)信息資產(chǎn)，是對信息安全保障進(jìn)行指導(dǎo)、規(guī)范和管理的一系列活動與過程，具體包括以下幾個方面。1.信息安全風(fēng)險(xiǎn)管理信息安全風(fēng)險(xiǎn)管理是一個過程，而不是一個產(chǎn)品，其本質(zhì)是風(fēng)險(xiǎn)管理。信息安全風(fēng)險(xiǎn)管理可以看成是一個不斷降低安全風(fēng)險(xiǎn)的過程，最終目的是使安全風(fēng)險(xiǎn)降低到一個可接受的程度，使用戶和決策者可以接受剩余的風(fēng)險(xiǎn)。信息安全風(fēng)險(xiǎn)管理貫穿信息系統(tǒng)生命周期的全部過程。信息系統(tǒng)生命周期包括規(guī)劃、設(shè)計(jì)、實(shí)施、運(yùn)維和廢棄五個階段。每個階段都存在相關(guān)風(fēng)險(xiǎn)，需要采用同樣的信息安全風(fēng)險(xiǎn)管理的方法加以控制。信息安全風(fēng)險(xiǎn)管理是為保護(hù)信息及其相關(guān)資產(chǎn)，指導(dǎo)和控制一個組織相關(guān)信息安全風(fēng)險(xiǎn)的協(xié)調(diào)活動。我國《信息安全風(fēng)險(xiǎn)管理指南》指出，信息安全風(fēng)險(xiǎn)管理包括對象確立、風(fēng)險(xiǎn)評估、風(fēng)險(xiǎn)控制、審核批準(zhǔn)、監(jiān)控與審查、溝通與咨詢六個方面，其中前四項(xiàng)是信息安全風(fēng)險(xiǎn)管理的基本步驟，監(jiān)控與審查和溝通與咨詢則貫穿于前四個步驟中。2.設(shè)施的安全管理設(shè)施的安全管理包括網(wǎng)絡(luò)的安全管理、保密設(shè)備的安全管理、硬件設(shè)施的安全管理、場地設(shè)施的安全管理等。（1）網(wǎng)絡(luò)的安全管理。網(wǎng)絡(luò)管理系統(tǒng)是一個用于收集、傳輸、處理和存儲有關(guān)信息系統(tǒng)與網(wǎng)絡(luò)的維護(hù)、運(yùn)行和管理信息的、高度自動化網(wǎng)絡(luò)化的綜合管理系統(tǒng)。它包括性能管理、配置管理、故障管理、計(jì)費(fèi)管理、安全管理等功能。而安全管理又包括系統(tǒng)的安全管理、安全服務(wù)管理、安全機(jī)制管理、安全事件處理管理、安全審計(jì)管理、安全恢復(fù)管理等。（2）保密設(shè)備的安全管理。保密設(shè)備的安全管理主要包括保密性能指標(biāo)的管理，工作狀態(tài)的管理，保密設(shè)備類型、數(shù)量、分配、使用者狀況的管理及密鑰的管理。（3）硬件設(shè)施的安全管理。對硬件設(shè)施的安全管理主要考慮配置管理、使用管理、維修管理、存儲管理、網(wǎng)絡(luò)連接管理。常見的網(wǎng)絡(luò)設(shè)備需要防止電磁輻射、電磁泄漏和自然老化；對集線器、交換機(jī)、網(wǎng)關(guān)設(shè)備或路由器，還需防止受到拒絕服務(wù)、訪問控制、后門缺陷等威脅；對傳輸介質(zhì)還需防止電磁干擾、搭線竊聽和人為破壞；對衛(wèi)星信道、微波接力信道等需防止對信道的竊聽及人為破壞。（4）場地設(shè)施的安全管理。機(jī)房和場地設(shè)施的安全管理需滿足防水、防火、防靜電、防雷擊、防輻射、防盜竊等國家標(biāo)準(zhǔn)。其中：人員出入控制需要根據(jù)安全等級和涉密范圍，采取必要的技術(shù)與行政措施，對人員進(jìn)入和退出的時間及進(jìn)入理由進(jìn)行登記等；電磁輻射防護(hù)需要根據(jù)技術(shù)上的可行性與經(jīng)濟(jì)上的合理性，采取設(shè)備防護(hù)、建筑物防護(hù)、區(qū)域性防護(hù)和磁場防護(hù)等防護(hù)手段。3.信息的安全管理根據(jù)信息化建設(shè)發(fā)展的需要，信息包括三個層次的內(nèi)容：一是在網(wǎng)絡(luò)和系統(tǒng)中被采集、傳輸、處理和存儲的對象，如技術(shù)文檔、存儲介質(zhì)、各種信息等；二是指使用的各種軟件；三是安全管理手段的密鑰和口令等信息。目前使用最廣泛的網(wǎng)絡(luò)通信協(xié)議是TCP/IP協(xié)議。由于存在許多安全設(shè)計(jì)缺陷，網(wǎng)絡(luò)信息常常面臨許多威脅。網(wǎng)絡(luò)管理軟件是安全管理的重要組成部分，常用的有HP公司的OpenView、IBM公司的NetView、SUN公司的NetManager等，當(dāng)然也需要額外的安全措施。（1）存儲介質(zhì)的安全管理。存儲介質(zhì)的安全對信息系統(tǒng)的恢復(fù)、信息的保密、防病毒起著十分關(guān)鍵的作用。對存儲介質(zhì)的安全管理主要考慮存儲管理、使用管理、復(fù)制和銷毀管理、涉密介質(zhì)的安全管理。（2）技術(shù)文檔的安全管理。技術(shù)文檔是系統(tǒng)或網(wǎng)絡(luò)在設(shè)計(jì)、開發(fā)、運(yùn)行和維護(hù)中所有技術(shù)問題的文字描述。技術(shù)文檔按其內(nèi)容的涉密程度進(jìn)行分級管理，一般分為絕密級、機(jī)密級、秘密級和公開級。對技術(shù)文檔的安全管理主要考慮文檔的使用、備份、借閱、銷毀等方面，需要建立嚴(yán)格的管理制度并指定相關(guān)負(fù)責(zé)人。（3）軟件設(shè)施的安全管理。對軟件設(shè)施的安全管理主要考慮配置管理、使用和維護(hù)管理、開發(fā)管理和病毒管理。軟件設(shè)施主要包括操作系統(tǒng)、數(shù)據(jù)庫系統(tǒng)、應(yīng)用軟件、網(wǎng)絡(luò)管理軟件以及網(wǎng)絡(luò)協(xié)議等。操作系統(tǒng)是整個計(jì)算機(jī)系統(tǒng)的基石，由于它的安全等級不高，需要提供不同安全等級的保護(hù)。對數(shù)據(jù)庫系統(tǒng)，需要加強(qiáng)數(shù)據(jù)庫的安全性，并采用加密技術(shù)對數(shù)據(jù)庫中的敏感數(shù)據(jù)加密。（4）密鑰和口令的安全管理。密鑰是加密解密算法的關(guān)鍵，密鑰管理就是對密鑰的生成、檢驗(yàn)、分配、保存、使用、注入、更換和銷毀等過程所進(jìn)行的管理?？诹钍沁M(jìn)行設(shè)備管理的一種有效手段，對口令的產(chǎn)生、傳送、使用、存儲、更換均需要進(jìn)行有效的管理和控制。4.運(yùn)行的安全管理信息系統(tǒng)和網(wǎng)絡(luò)在運(yùn)行中的安全狀態(tài)也是需要考慮的問題，目前常常關(guān)注安全審計(jì)和安全恢復(fù)兩個安全管理問題。（1）安全審計(jì)。安全審計(jì)是指對系統(tǒng)或網(wǎng)絡(luò)運(yùn)行中有關(guān)安全的情況和事件進(jìn)行記錄、分析并采取相應(yīng)措施的管理活動。目前主要對操作系統(tǒng)及各種關(guān)鍵應(yīng)用軟件進(jìn)行審計(jì)。安全審計(jì)工作應(yīng)該由各級安全機(jī)構(gòu)負(fù)責(zé)實(shí)施管理，安全審計(jì)可以采用人工審計(jì)、半自動審計(jì)或自動智能審計(jì)三種方式。（2）安全恢復(fù)。安全恢復(fù)是指網(wǎng)絡(luò)和信息系統(tǒng)在受到災(zāi)難性打擊或破壞時，為使網(wǎng)絡(luò)和信息系統(tǒng)迅速恢復(fù)正常，并使損失降低到最小而進(jìn)行的一系列活動。安全恢復(fù)的管理主要包括安全恢復(fù)策略的確立、安全恢復(fù)計(jì)劃的制訂、安全恢復(fù)計(jì)劃的測試和維護(hù)及安全恢復(fù)計(jì)劃的執(zhí)行。1.2信息安全風(fēng)險(xiǎn)評估的概念信息安全風(fēng)險(xiǎn)評估是從風(fēng)險(xiǎn)管理的角度，運(yùn)用科學(xué)的手段，系統(tǒng)地分析網(wǎng)絡(luò)與信息系統(tǒng)所面臨的威脅及其存在的脆弱性，評估安全事件一旦發(fā)生可能造成的危害程度，為防范和化解信息安全風(fēng)險(xiǎn)，或者將風(fēng)險(xiǎn)控制在可以接受的水平，制訂有針對性的抵御威脅的防護(hù)對策和整改措施，以最大限度地保障網(wǎng)絡(luò)和信息安全提供科學(xué)依據(jù)。1.2.1信息安全風(fēng)險(xiǎn)的相關(guān)概念信息系統(tǒng)是用于采集信息、組織信息、存儲信息、傳輸信息的有組織的系統(tǒng)。更具體地說，它是研究人員和組織用于收集、過濾、處理、創(chuàng)建和分發(fā)數(shù)據(jù)的互補(bǔ)網(wǎng)絡(luò)。信息安全即保護(hù)組織的數(shù)據(jù)免遭未經(jīng)授權(quán)的訪問或修改，以確保其保密性、完整性和可用性。保密性意味著系統(tǒng)上可用的信息對于未經(jīng)授權(quán)的人員應(yīng)該是安全的，比如客戶的信用卡、醫(yī)保卡中的信息等；完整性則意味著可用的信息應(yīng)該是完整的，任何未經(jīng)授權(quán)的人都不能夠改變它，如果信息由于某種攻擊而受到嚴(yán)重?fù)p害，那么這個信息將由于完整性受損而變得不可靠；可用性同前兩種屬性一樣重要，即授權(quán)用戶請求或要求的信息應(yīng)該始終可用。除此之外，信息安全可能還涉及保護(hù)和保存信息的真實(shí)性與可靠性，并確保實(shí)體可以追究責(zé)任。信息安全風(fēng)險(xiǎn)評估是發(fā)現(xiàn)、糾正和預(yù)防安全問題的持續(xù)過程。風(fēng)險(xiǎn)評估作為風(fēng)險(xiǎn)管理流程的一個組成部分，旨在為信息系統(tǒng)提供適當(dāng)級別的安全性，幫助機(jī)構(gòu)確定可接受的風(fēng)險(xiǎn)水平以及由此產(chǎn)生的每個系統(tǒng)的安全性要求。1.2.2信息安全風(fēng)險(xiǎn)的基本要素從信息安全的角度來講，風(fēng)險(xiǎn)評估是對信息資產(chǎn)所面臨的威脅、存在的弱點(diǎn)、造成的影響，以及三者的綜合作用在當(dāng)前安全措施控制下所帶來的與安全需求不符合的風(fēng)險(xiǎn)的可能性進(jìn)行評估。作為風(fēng)險(xiǎn)管理的基礎(chǔ)，風(fēng)險(xiǎn)評估是組織進(jìn)一步確定信息安全需求和改進(jìn)信息安全策略的重要途徑，屬于組織信息安全管理體系策劃的過程。信息系統(tǒng)是信息安全風(fēng)險(xiǎn)評估的對象，信息系統(tǒng)中的資產(chǎn)、信息系統(tǒng)面臨的可能威脅、系統(tǒng)中存在的脆弱性、安全風(fēng)險(xiǎn)、安全風(fēng)險(xiǎn)對業(yè)務(wù)的影響，以及系統(tǒng)中已有的安全控制措施和系統(tǒng)的安全需求等構(gòu)成了信息安全風(fēng)險(xiǎn)評估的基本要素。1.資產(chǎn)(Asset)資產(chǎn)是指對組織具有價值的信息或資源，是安全策略保護(hù)的對象。資產(chǎn)能夠以多種形式存在，包括有形的或無形的、硬件或軟件、文檔或代碼，以及服務(wù)或形象等諸多表現(xiàn)形式。2.威脅（Threat）威脅是指可能對組織或資產(chǎn)造成損害的潛在原因，即威脅有可能導(dǎo)致不期望發(fā)生的安全事件發(fā)生，從而對系統(tǒng)、組織、資產(chǎn)造成損害。這種損害可能是偶然性事件，但更多的可能是蓄意的對信息系統(tǒng)和服務(wù)所處理信息的直接或間接的攻擊行為，例如非授權(quán)的泄露、修改、停機(jī)等。威脅主要來源于環(huán)境因素和人為因素，其中人為因素包括惡意攻擊和非惡意攻擊。(1)環(huán)境因素：指地震、火災(zāi)、水災(zāi)、電磁干擾、靜電、灰塵、潮濕等環(huán)境危害，以及軟件、硬件、數(shù)據(jù)、通信線路等方面的故障。(2)惡意攻擊：對組織不滿的或有目的的人員對信息系統(tǒng)進(jìn)行惡意破壞，會對信息的機(jī)密性、完整性和可用性等造成損害。(3)非惡意攻擊：由于缺乏責(zé)任心、安全意識或?qū)I(yè)技能不足等原因而導(dǎo)致信息系統(tǒng)故障、被破壞或被攻擊，本身無惡意企圖。3.脆弱性（Vulnerability）脆弱性是指可能被威脅所利用的資產(chǎn)或若干資產(chǎn)的薄弱環(huán)節(jié)，例如操作系統(tǒng)存在漏洞、對數(shù)據(jù)庫的訪問沒有訪問控制機(jī)制、系統(tǒng)機(jī)房沒有門禁系統(tǒng)等。脆弱性是資產(chǎn)本身存在的，如果沒有相應(yīng)的威脅，單純的脆弱性本身不會對資產(chǎn)造成損害，而且如果系統(tǒng)足夠強(qiáng)健，則再嚴(yán)重的威脅也不會導(dǎo)致安全事件發(fā)生，從而造成損失。這說明，威脅總是要利用資產(chǎn)的脆弱性來產(chǎn)生危害。資產(chǎn)的脆弱性具有隱蔽性，有些脆弱性只在一定條件和環(huán)境下才能顯現(xiàn)，這也是脆弱性識別中最為困難的部分。要注意的是，不正確的、起不到應(yīng)有作用的或沒有正確實(shí)施的安全控制措施本身就可能是一種脆弱性。脆弱性主要表現(xiàn)在技術(shù)和管理兩個方面。其中技術(shù)脆弱性是指信息系統(tǒng)在設(shè)計(jì)、實(shí)現(xiàn)和運(yùn)行時，涉及的物理層、網(wǎng)絡(luò)層、系統(tǒng)層、應(yīng)用層等各個層面在技術(shù)上存在的缺陷或弱點(diǎn)；管理脆弱性則是指組織管理制度、流程等方面存在的缺陷或不足。1.3信息安全風(fēng)險(xiǎn)管理體系信息安全管理體系（InformationSecurityManagementSystem，ISMS）是1998年前后從英國發(fā)展起來的信息安全領(lǐng)域中的一個新概念，是管理體系（ManagementSystem，MS）思想和方法在信息安全領(lǐng)域的應(yīng)用。近年來，伴隨著ISMS國際標(biāo)準(zhǔn)的修訂，ISMS迅速被全球接受和認(rèn)可，成為世界各國、各種類型、各種規(guī)模的組織解決信息安全問題的一個有效方法。ISMS認(rèn)證隨之成為組織向社會及其相關(guān)方證明其信息安全水平和能力的一種有效途徑。信息安全管理體系是組織機(jī)構(gòu)單位按照信息安全管理體系相關(guān)標(biāo)準(zhǔn)的要求，制定信息安全管理方針和策略，采用風(fēng)險(xiǎn)管理的方法進(jìn)行信息安全管理計(jì)劃、實(shí)施、評審檢查、改進(jìn)的信息安全管理執(zhí)行的工作體系。信息安全管理體系是按照ISO/IEC27001標(biāo)準(zhǔn)《信息技術(shù)安全技術(shù)信息安全管理體系要求》建立的，ISO/IEC27001標(biāo)準(zhǔn)是由BS7799-2標(biāo)準(zhǔn)發(fā)展而來的。信息安全管理體系ISMS是建立和維持信息安全管理體系的標(biāo)準(zhǔn)，標(biāo)準(zhǔn)要求組織通過確定信息安全管理體系范圍、制定信息安全方針、明確管理職責(zé)、以風(fēng)險(xiǎn)評估為基礎(chǔ)選擇控制目標(biāo)與控制方式等活動建立信息安全管理體系；體系一旦建立組織應(yīng)按體系規(guī)定的要求進(jìn)行運(yùn)作，保持體系運(yùn)作的有效性；信息安全管理體系應(yīng)形成一定的文件，即組織應(yīng)建立并保持一個文件化的信息安全管理體系，其中應(yīng)闡述被保護(hù)的資產(chǎn)、組織風(fēng)險(xiǎn)管理的方法、控制目標(biāo)及控制方式和需要的保證程度。1.3.1ISMS的范圍ISMS的范圍可以根據(jù)整個組織或者組織的一部分進(jìn)行定義，包括相關(guān)資產(chǎn)、系統(tǒng)、應(yīng)用、服務(wù)、網(wǎng)絡(luò)和用于過程中的技術(shù)、存儲以及通信的信息等，ISMS的范圍包括：（1）組織所有的信息系統(tǒng)；（2）組織的部分信息系統(tǒng)；（3）特定的信息系統(tǒng)。此外，為了保證不同的業(yè)務(wù)利益，組織需要為業(yè)務(wù)的不同方面定義不同的ISMS。組織內(nèi)部成功實(shí)施信息安全管理的關(guān)鍵因素在于：（1）反映業(yè)務(wù)目標(biāo)的安全方針、目標(biāo)和活動；（2）與組織文化一致的實(shí)施安全的方法；（3）來自管理層的有形支持與承諾；（4）對安全要求、風(fēng)險(xiǎn)評估和風(fēng)險(xiǎn)管理的良好理解；（5）向所有管理者及雇員推行安全意識；（6）向所有雇員和承包商分發(fā)有關(guān)信息安全方針和準(zhǔn)則的導(dǎo)則；（7）提供適當(dāng)?shù)呐嘤?xùn)與教育；（8）用于評價信息安全管理績效及反饋改進(jìn)建議，并有利于綜合平衡的測量系統(tǒng)。1.3.2信息安全管理體系的作用信息安全管理體系是一個系統(tǒng)化、程序化和文件化的管理體系。該體系具有以下特點(diǎn)：（1）體系的建立基于系統(tǒng)、全面、科學(xué)的安全風(fēng)險(xiǎn)評估，體現(xiàn)以預(yù)防控制為主的思想，強(qiáng)調(diào)遵守國家有關(guān)信息安全的法律法規(guī)及其他合同方的要求；（2）強(qiáng)調(diào)全過程和動態(tài)控制，本著控制費(fèi)用與風(fēng)險(xiǎn)平衡的原則合理選擇安全控制方式；（3）強(qiáng)調(diào)保護(hù)組織所擁有的關(guān)鍵性信息資產(chǎn)，而不是全部信息資產(chǎn)，確保信息的機(jī)密性、完整性和可用性，保持組織的競爭優(yōu)勢和商務(wù)運(yùn)作的持續(xù)性。組織建立、實(shí)施與保持信息安全管理體系將會產(chǎn)生如下作用：（1）強(qiáng)化員工的信息安全意識，規(guī)范組織信息安全行為；（2）對組織的關(guān)鍵信息資產(chǎn)進(jìn)行全面系統(tǒng)的保護(hù)，維持競爭優(yōu)勢；（3）在信息系統(tǒng)受到侵襲時，確保業(yè)務(wù)持續(xù)開展并將損失降到最低程度；（4）使組織的生意伙伴和客戶對組織充滿信心；（5）如果通過體系認(rèn)證，表明體系符合標(biāo)準(zhǔn)，證明組織有能力保證重要信息，提高組織的知名度與信任度；（6）促使管理層貫徹信息安全保障體系；（7）組織可以參照信息安全管理模型，按照先進(jìn)的信息安全管理標(biāo)準(zhǔn)BS7799建立組織完整的信息安全管理體系并實(shí)施與保持，達(dá)到動態(tài)的、系統(tǒng)的、全員參與、制度化的、以預(yù)防為主的信息安全管理方式，用最低的成本，達(dá)到可接受的信息安全水平，從根本上保證業(yè)務(wù)的連續(xù)性。1.3.3PDCA原則PDCA循環(huán)的概念最早是由美國質(zhì)量管理專家戴明提出來的，所以又稱為“戴明環(huán)”，它在質(zhì)量管理中應(yīng)用廣泛。PDCA代表的含義如下：P(Plan)：計(jì)劃，確定方針和目標(biāo)，確定活動計(jì)劃；D(Do)：實(shí)施，實(shí)際去做，實(shí)現(xiàn)計(jì)劃中的內(nèi)容；C(Check)：檢查，總結(jié)執(zhí)行計(jì)劃的結(jié)果，注意效果，找出問題；A(Action)：行動，對總結(jié)檢查的結(jié)果進(jìn)行處理，成功的經(jīng)驗(yàn)加以肯定并適當(dāng)推廣、標(biāo)準(zhǔn)化；失敗的教訓(xùn)加以總結(jié)，以免重現(xiàn)；未解決的問題放到下一個PDCA循環(huán)。PDCA循環(huán)的四個階段具體內(nèi)容如下：(1)計(jì)劃階段：制訂具體工作計(jì)劃，提出總的目標(biāo)。具體來講又分為以下四個步驟。①分析目前現(xiàn)狀，找出存在的問題；②分析產(chǎn)生問題的各種原因以及影響因素；③分析并找出管理中的主要問題；④制訂管理計(jì)劃，確定管理要點(diǎn)。根據(jù)管理體制中出現(xiàn)的主要問題，制訂管理的措施、方案，明確管理的重點(diǎn)。制定管理方案時要注意整體的詳盡性、多選性、全面性。(2)實(shí)施階段：指按照制訂的方案去執(zhí)行。在管理工作中全面執(zhí)行制訂的方案。制訂的管理方案在管理工作中執(zhí)行的情況，直接影響全過程。所以在實(shí)施階段要堅(jiān)持按照制訂的方案去執(zhí)行。(3)檢查階段：檢查實(shí)施計(jì)劃的結(jié)果。檢查工作這一階段是比較重要的一個階段，它是對實(shí)施方案是否合理，是否可行有何不妥的檢查，是為下一個階段工作提供條件，是檢驗(yàn)上一階段工作好壞的檢驗(yàn)期。(4)行動階段：根據(jù)調(diào)查效果進(jìn)行處理。對已解決的問題，加以標(biāo)準(zhǔn)化，即把已成功的可行的條文進(jìn)行標(biāo)準(zhǔn)化，將這些納入制度、規(guī)定中，防止以后再發(fā)生類似問題。找出尚未解決的問題，轉(zhuǎn)入下一個循環(huán)中，以便解決。PDCA循環(huán)實(shí)際上是有效進(jìn)行任何一項(xiàng)工作的合乎邏輯的工作程序。之所以叫PDCA循環(huán)，是因?yàn)檫@四個過程不是運(yùn)行一次就完結(jié)，而是周而復(fù)始地進(jìn)行，其特點(diǎn)是“大環(huán)套小環(huán)，一環(huán)扣一環(huán)，小環(huán)保大環(huán)，推動大循環(huán)”。每個循環(huán)系統(tǒng)包括PDCA四個階段螺旋式上升和發(fā)展，每循環(huán)一次要求提高一步。建立和管理一個信息安全管理體系需要像其他任何管理體系一樣的方法。這里描述的過程模型遵循一個連續(xù)的活動循環(huán)：計(jì)劃、實(shí)施、檢查和處置。之所以可以描述為一個有效的循環(huán)，是因?yàn)樗哪康氖潜ＷC組織的最好實(shí)踐文件化、加強(qiáng)并隨時間改進(jìn)。信息安全管理體系的PDCA過程如圖1-1所示。1.3.4ISMS的PDCA1.計(jì)劃階段計(jì)劃階段的主要任務(wù)在于確定控制目標(biāo)與控制方式，目的是保證正確地建立ISMS的內(nèi)容和范圍、識別和評估所有的信息安全風(fēng)險(xiǎn)，開發(fā)合適的風(fēng)險(xiǎn)處理計(jì)劃。該階段的要點(diǎn)在于：1）確定信息安全方針安全方針是在一個組織內(nèi)，指導(dǎo)如何對信息資產(chǎn)進(jìn)行管理、保護(hù)和分配的規(guī)則、指示，是組織信息安全管理體系的基本法。組織的信息安全方針，描述信息安全在組織內(nèi)的重要性，表明管理層的承諾，提出組織管理信息安全的方法，為組織的信息安全管理提供方向和支持。2）確定信息安全管理體系的范圍信息安全管理體系可以覆蓋組織的全部或者部分。無論是全部還是部分，組織都必須明確界定體系的范圍，如果體系僅涵蓋組織的一部分這就變得更重要了。組織需要文件化信息安全管理體系的范圍。3）制定風(fēng)險(xiǎn)識別和評估計(jì)劃確定信息安全風(fēng)險(xiǎn)評估方法，并確定風(fēng)險(xiǎn)等級準(zhǔn)則。評估方法應(yīng)該和組織既定的信息安全管理體系范圍、信息安全需求、法律法規(guī)要求相適應(yīng)，兼顧效果和效率。組織需要建立風(fēng)險(xiǎn)評估文件，解釋所選擇的風(fēng)險(xiǎn)評估方法、說明為什么該方法適合組織的安全要求和業(yè)務(wù)環(huán)境，介紹所采用的技術(shù)和工具，以及使用這些技術(shù)和工具的原因。4）制定風(fēng)險(xiǎn)控制計(jì)劃根據(jù)資產(chǎn)保密性、完整性和可用性丟失的潛在影響，評估由于安全失?。╢ailure）可能引起的商業(yè)影響；根據(jù)與資產(chǎn)相關(guān)的主要威脅、薄弱點(diǎn)及其影響，以及目前實(shí)施的控制，評估此類失敗發(fā)生的現(xiàn)實(shí)可能性；根據(jù)既定的風(fēng)險(xiǎn)等級準(zhǔn)則，確定風(fēng)險(xiǎn)等級。2.實(shí)施階段本階段的主要任務(wù)在于實(shí)施組織所選的控制目標(biāo)與控制措施，同時，還需要分配適當(dāng)?shù)馁Y源運(yùn)行信息安全管理體系以及所有的安全控制。這包括將所有已實(shí)施控制文件化，以及信息安全管理體系文件的積極維護(hù)。該階段的要點(diǎn)在于：1）保證資源，提供培訓(xùn)，提高安全意識提高信息安全意識的目的就是產(chǎn)生適當(dāng)?shù)娘L(fēng)險(xiǎn)和安全文化，保證意識和控制活動的同步，還必須安排針對信息安全意識的培訓(xùn)，并檢查意識培訓(xùn)的效果，以確保其持續(xù)有效和實(shí)時性。如有必要應(yīng)對相關(guān)方實(shí)施有針對性的安全培訓(xùn)，保證所有相關(guān)方能按照要求完成安全任務(wù)。2）風(fēng)險(xiǎn)管理以適當(dāng)?shù)膬?yōu)先權(quán)進(jìn)行管理運(yùn)作，執(zhí)行所選擇的控制，管理在策劃階段所識別的信息安全風(fēng)險(xiǎn)。對于評估認(rèn)為是可接受的風(fēng)險(xiǎn)，不需要采取進(jìn)一步的措施。對于不可接受的風(fēng)險(xiǎn)，需要實(shí)施所選擇的控制，這應(yīng)該與策劃活動中準(zhǔn)備的風(fēng)險(xiǎn)處理計(jì)劃同步進(jìn)行。計(jì)劃的成功實(shí)施需要有一個有效的管理系統(tǒng)，其中要規(guī)定所選擇方法、分配職責(zé)和職責(zé)分離，并且要依據(jù)規(guī)定的方式方法監(jiān)控這些活動。在不可接受的風(fēng)險(xiǎn)被降低或轉(zhuǎn)移之后，還會有一部分剩余風(fēng)險(xiǎn)。應(yīng)對這部分風(fēng)險(xiǎn)進(jìn)行控制，確保不期望的影響和破壞被快速識別并得到適當(dāng)管理。3.行動階段經(jīng)過了策劃、實(shí)施、檢查之后，組織在行動階段必須對所策劃的方案給以結(jié)論，是應(yīng)該繼續(xù)執(zhí)行，還是應(yīng)該放棄重新進(jìn)行新的策劃。當(dāng)然該循環(huán)會給管理體系帶來明顯的業(yè)績提升，組織可以考慮將成果擴(kuò)大到其他的部門或領(lǐng)域，這就開始了新一輪的PDCA循環(huán)。該階段的主要任務(wù)在于評價信息安全管理體系，尋求改進(jìn)機(jī)會，采取相應(yīng)措施。其要點(diǎn)在于：以檢查階段采集的不符合項(xiàng)信息為基礎(chǔ)，通過糾正措施和預(yù)防措施對其進(jìn)行調(diào)整與改進(jìn)。糾正措施是為消除已發(fā)現(xiàn)的不符合或其他不期望情況的原因所采取的措施。一個不符合可能有若干個原因，采取糾正措施就是要找出問題的原因，消除原因，防止再發(fā)生。預(yù)防措施是為消除潛在不符合的原因，防止其發(fā)生而采取的措施。預(yù)防措施是在問題出現(xiàn)之前采取的措施，是為了防止系統(tǒng)或流程中的正常項(xiàng)發(fā)展為不符合項(xiàng)。預(yù)防措施應(yīng)與潛在問題的影響程度相適應(yīng)。1.3.5ISMS建設(shè)整體思路ISMS的構(gòu)建思路是將PDCA持續(xù)改進(jìn)的信息安全管理模型作為體系建設(shè)過程的主要指導(dǎo)思想（見圖1-2），以保證整個體系可以不斷地改進(jìn)和循環(huán)。1.建立ISMS1）建立前準(zhǔn)備工作建立一套適用于企業(yè)的ISMS，首先需從風(fēng)險(xiǎn)控制、效率、業(yè)務(wù)優(yōu)勢三個方面定義ISMS的目標(biāo)，即如何更好地控制信息安全風(fēng)險(xiǎn)、如何提高處理信息安全的效率和如何創(chuàng)造業(yè)務(wù)優(yōu)勢。同時對管理目標(biāo)進(jìn)行分析考慮。定義ISMS目標(biāo)后，須定義ISMS的初始范圍，明確ISMS建立過程中的相關(guān)角色和職責(zé)。對于定義這些角色職責(zé)應(yīng)結(jié)合企業(yè)實(shí)際進(jìn)行考慮，角色的人員數(shù)量與結(jié)構(gòu)復(fù)雜度應(yīng)結(jié)合企業(yè)的規(guī)模、類型和結(jié)構(gòu)進(jìn)行考慮。2）定義ISMS范圍和方針通過對企業(yè)關(guān)鍵業(yè)務(wù)流程、物理環(huán)境以及組織結(jié)構(gòu)等基本信息的分析，從業(yè)務(wù)邊界、信息通信技術(shù)邊界及物理邊界三方面分析形成ISMS的范圍邊界。ISMS方針需考慮：實(shí)現(xiàn)企業(yè)業(yè)務(wù)要求和信息安全需求ISMS目標(biāo)的指導(dǎo)；強(qiáng)調(diào)所需遵守的法律法規(guī)及合同義務(wù)要求；建立評價風(fēng)險(xiǎn)和定義風(fēng)險(xiǎn)評估結(jié)構(gòu)準(zhǔn)則；高層管理者的職責(zé)及承諾。3）風(fēng)險(xiǎn)評估風(fēng)險(xiǎn)評估初期應(yīng)建立在相關(guān)標(biāo)準(zhǔn)需求控制點(diǎn)上的差距分析，完成對企業(yè)現(xiàn)有的信息安全框架的評估，并產(chǎn)生相應(yīng)的符合度報(bào)告。對企業(yè)所擁有的資產(chǎn)分類，依據(jù)重要程度分級，最后根據(jù)現(xiàn)有的信息安全措施識別出其中可能被威脅利用的資產(chǎn)脆弱性和發(fā)生概率。由此評估企業(yè)信息安全面臨的風(fēng)險(xiǎn)。4）風(fēng)險(xiǎn)處理風(fēng)險(xiǎn)被識別后，通常有四種處理風(fēng)險(xiǎn)的方式：（1）降低風(fēng)險(xiǎn)：實(shí)施控制措施將風(fēng)險(xiǎn)降低到可接受的等級。（2）接受風(fēng)險(xiǎn)：計(jì)算出風(fēng)險(xiǎn)值并了解風(fēng)險(xiǎn)帶來的影響。（3）回避風(fēng)險(xiǎn)：忽略風(fēng)險(xiǎn)并非正確的解決方法，但可以通過將資產(chǎn)移出風(fēng)險(xiǎn)區(qū)域來避免風(fēng)險(xiǎn)發(fā)生或完全放棄可能產(chǎn)生安全脆弱點(diǎn)的活動來回避風(fēng)險(xiǎn)。（4）轉(zhuǎn)移風(fēng)險(xiǎn)：可通過購買保險(xiǎn)或外包來轉(zhuǎn)移風(fēng)險(xiǎn)。大多情況下，企業(yè)應(yīng)該選擇相應(yīng)的控制措施降低風(fēng)險(xiǎn)，企業(yè)可以選擇能夠承受對應(yīng)控制措施中建議的保護(hù)方案來防護(hù)面臨的威脅。在最終風(fēng)險(xiǎn)處置計(jì)劃制訂前，企業(yè)也可以接受或拒絕建議的保護(hù)方案。一旦選定控制措施，應(yīng)制訂相應(yīng)的風(fēng)險(xiǎn)處置計(jì)劃，落實(shí)相關(guān)管理任務(wù)、職責(zé)、管理責(zé)任人、風(fēng)險(xiǎn)管理的優(yōu)先級等，保證風(fēng)險(xiǎn)處置計(jì)劃的實(shí)施。5）編寫體系文件ISMS建立的最后一步是編寫體系文件。ISO/IEC27001中明確規(guī)定了ISMS實(shí)施必需文件化，因此對于ISMS的目標(biāo)、方針、范圍及各種控制措施的要求規(guī)定都應(yīng)形成文件。編寫ISMS文件時必須具備以下三個要素：（1）符合性：ISMS文件應(yīng)符合標(biāo)準(zhǔn)的相應(yīng)條款要求，即ISO/IEC27001的相關(guān)條款要求。（2）可操作性：符合企業(yè)的實(shí)際情況，具體的控制要求以滿足企業(yè)實(shí)際需要為主，應(yīng)具有統(tǒng)一格式、鮮明層級且簡單適用、避免復(fù)雜性，不敘述不在該文件范圍內(nèi)的活動。（3）一致性：同一文件中，上下文不能有不一致的地方，同一體系的不同文件之間不能有矛盾之處，同體系的文件之間不應(yīng)有不一致的地方。2.實(shí)施與運(yùn)行ISMS經(jīng)歷了ISMS建立后，實(shí)施與運(yùn)行ISMS階段主要是對體系的推廣，具體包含以下三個階段。1）批準(zhǔn)體系文件并發(fā)布ISMS建立階段完成了滿足標(biāo)準(zhǔn)要求、體現(xiàn)各類控制措施的體系文件，在本階段中，首先應(yīng)將文件發(fā)布給相關(guān)員工。2）體系文件的推廣ISMS運(yùn)行過程中，控制措施的實(shí)施是解決問題的關(guān)鍵。員工往往因業(yè)務(wù)繁忙、安全意識淡薄等原因忽視對體系文件的學(xué)習(xí)和理解，從而導(dǎo)致ISMS實(shí)施不通暢。因此，ISMS建立后，對員工進(jìn)行體系文件實(shí)施方面的培訓(xùn)，安全意識的宣貫等推廣手段在ISMS的實(shí)施與運(yùn)行過程中至關(guān)重要。3）確保體系文件的實(shí)施這是ISMS實(shí)施運(yùn)行階段中最關(guān)鍵的過程，也是其目的所在。執(zhí)行風(fēng)險(xiǎn)處理計(jì)劃和相關(guān)體系文件屬于體系的正式實(shí)施階段，該階段需要執(zhí)行所選擇的控制措施，因此需要相關(guān)人員的參與和執(zhí)行。要確保體系文件的實(shí)施，企業(yè)必須保證分配有ISMS職責(zé)的人員具有執(zhí)行所要求任務(wù)的能力，上一階段中已考慮了對實(shí)施人員能力的加強(qiáng)。確保體系實(shí)施和運(yùn)行的另一方面是考慮其他資源的供應(yīng)，以確保信息安全程序支持業(yè)務(wù)要求。這個問題更多取決于管理者的態(tài)度，在其他階段同樣需要管理者的支持。因此，在ISMS建立和實(shí)施的整個過程中取得高層管理者的大力支持也是體系有效實(shí)施的前提。3.監(jiān)視與評審ISMS監(jiān)視與評審ISMS階段的活動主要有三個：日常監(jiān)視和檢查、內(nèi)部審核和管理評審。1）日常監(jiān)視和檢查日常監(jiān)視和檢查是監(jiān)視和評審ISMS的常規(guī)性活動，是在各人員運(yùn)行ISMS時發(fā)現(xiàn)存在的問題和所采取的有效手段。它應(yīng)達(dá)到以下目的：①迅速檢測過程運(yùn)行結(jié)果中的錯誤；②迅速識別試圖的和得逞的安全違規(guī)和事故；③使管理者確定分配給人員的安全活動或通過信息技術(shù)實(shí)施的安全活動是否被如期執(zhí)行；④通過使用指標(biāo)，幫助檢測安全事件并預(yù)防安全事故；⑤確定解決安全違規(guī)的措施是否有效。2）內(nèi)部審核為周期性全面審核，主要以標(biāo)準(zhǔn)的符合性、法律法規(guī)要求以及企業(yè)的信息安全方針的要求為準(zhǔn)則，保證其有效地實(shí)施和保持。企業(yè)應(yīng)根據(jù)審核的過程、區(qū)域的狀況和重要性以及以往審核的結(jié)果確定審核的準(zhǔn)則、范圍、頻次和方法。同時，對于執(zhí)行每次內(nèi)審，應(yīng)對審核方案進(jìn)行策劃，規(guī)定審核的目標(biāo)、范圍、內(nèi)容、步驟、時間及人員安排等，審核完成后應(yīng)形成審核報(bào)告。3）管理評審ISMS管理評審是管理者按照計(jì)劃的時間間隔組織實(shí)施的ISMS評審，目標(biāo)是要檢查ISMS是否有效，識別可以改進(jìn)的地方，并采取措施，以保證ISMS保持持續(xù)的適宜性、充分性和有效性。管理評審以會議為主，在管理者的主持下就ISMS運(yùn)行中存在的問題提出解決方法，并制定糾正與預(yù)防措施。4.保持和改進(jìn)ISMS保持和改進(jìn)ISMS階段的主要目的是實(shí)施監(jiān)視和評審ISMS階段所識別的改進(jìn)措施，以實(shí)現(xiàn)體系的持續(xù)改進(jìn)。改進(jìn)措施包括糾正和預(yù)防措施。1）糾正和預(yù)防措施采取糾正措施是為消除與ISMS要求不符合的原因，以防止再發(fā)生。預(yù)防措施是指為消除潛在的不符合的原因，防止其發(fā)生采取的措施。糾正措施與預(yù)防措施有所區(qū)別，糾正措施是為了防止不符合的再發(fā)生，而預(yù)防措施是為了防止不符合的發(fā)生。在監(jiān)視和評審ISMS階段，通過日常的監(jiān)視與檢查、內(nèi)部審核以及管理評審等識別出與ISMS要求不符合的事項(xiàng)以及潛在的不符合項(xiàng)，進(jìn)而識別出不符合發(fā)生和潛在的不符合發(fā)生的原因。管理評審的輸出結(jié)果中會確定要實(shí)施的糾正措施及預(yù)防措施，保持和改進(jìn)ISMS階段就是實(shí)施措施、記錄措施采取的結(jié)果并對其評審。2）持續(xù)改進(jìn)企業(yè)應(yīng)通過使用信息安全方針、安全目標(biāo)、審核結(jié)果、監(jiān)視事件的分析、糾正和預(yù)防措施以及管理評審持續(xù)地改進(jìn)ISMS的有效性。1.4信息安全風(fēng)險(xiǎn)評估現(xiàn)狀當(dāng)今信息時代，計(jì)算機(jī)網(wǎng)絡(luò)已經(jīng)成為一種不可缺少的信息交換工具。然而，由于計(jì)算機(jī)網(wǎng)絡(luò)具有開放性、互聯(lián)性、連接方式的多樣性及終端分布的不均勻性，再加上本身存在的技術(shù)弱點(diǎn)和人為的疏忽，致使網(wǎng)絡(luò)易受計(jì)算機(jī)病毒、黑客或惡意軟件的侵害。信息安全就是要防止非法的攻擊和病毒的傳播，以保證計(jì)算機(jī)系統(tǒng)和通信系統(tǒng)的正常運(yùn)作。信息安全主要包括四方面的內(nèi)容，即需保證信息的保密性、完整性、可用性和可控性。綜合起來，就是要保障電子信息的有效性。隨著網(wǎng)絡(luò)技術(shù)的飛速發(fā)展，網(wǎng)絡(luò)中的不安全因素也在逐漸增加，所以，強(qiáng)化網(wǎng)絡(luò)的信息安全，解決信息安全，才能使信息化持續(xù)，向健康的方向發(fā)展。為了應(yīng)對目前出現(xiàn)的信息系統(tǒng)的各種安全問題，并且使人們對系統(tǒng)安全性有更詳盡的認(rèn)識，需要對信息系統(tǒng)進(jìn)行一個相對全面的、正確的安全風(fēng)險(xiǎn)評估。信息安全風(fēng)險(xiǎn)評估是完善信息系統(tǒng)安全性的一個重要環(huán)節(jié)。1.4.1國內(nèi)現(xiàn)狀相對于歐美等發(fā)達(dá)國家，我國的信息安全發(fā)展相對滯后，所做的工作多是在對信息安全問題的認(rèn)識過程中發(fā)展起來的。早期通過檢查發(fā)現(xiàn)問題之后提高信息安全，20世紀(jì)80年代后，隨著計(jì)算機(jī)的推廣與應(yīng)用，計(jì)算機(jī)安全問題開始引起重視，但由于缺乏風(fēng)險(xiǎn)意識，多去尋求絕對安全的措施。到20世紀(jì)90年代后，互聯(lián)網(wǎng)的應(yīng)用逐漸廣泛，信息安全環(huán)境日益嚴(yán)峻，我國也開始加大對信息安全風(fēng)險(xiǎn)分析技術(shù)的研究，并在此基礎(chǔ)上制定了相關(guān)的信息安全技術(shù)標(biāo)準(zhǔn)和信息管理規(guī)范。我國信息安全標(biāo)準(zhǔn)的研究基本上從20世紀(jì)90年代末開始，主要是等同采用或修改相關(guān)的國際標(biāo)準(zhǔn)。典型標(biāo)準(zhǔn)如下：GB/T18336——2001《信息技術(shù)安全技術(shù)信息技術(shù)信息安全評估標(biāo)準(zhǔn)》GB/T20984——2007《信息安全技術(shù)信息系統(tǒng)的風(fēng)險(xiǎn)評估規(guī)范》GB/T19716——2005《信息技術(shù)信息安全管理實(shí)用規(guī)則》GB/T9361——2000《計(jì)算機(jī)場地安全要求》