宏观管理决定微观安全——《信息安全管理体系实施指南》

曹剑锋

随着信息化程度的不断提高，信息安全的重要性得到了前所未有的重视。《2006—2020年国家信息化发展战略》中认为“信息安全的重要性与日俱增，成为各国面临的共同挑战”。

虽然国内外重视程度都很高，但是“各国面临的共同挑战”并没有得到很好的解决，具体表现为信息安全事件发生率居高不下。根据最近的2010/2011Computer Crime and Security Survey报告，有41.1%的受访组织经历了信息安全事件，攻击源来自内部用户滥用网络或邮件（Insider abuse of Net access or email）的 占24.8%。国内虽然没有权威的统计数据，但是根据 CNCERT/CC（http：//www.cert.org.cn/，国家互联网应急中心）的“被黑网站统计”和“恶意代码排行”栏目推断，不会比国外的情况更好。而与此同时，被试组织杀毒软件和防火墙的使用率分别达到了97%和94.9%，但49%的被试组织没有安全意识教育或没有相应的有效性测量机制，这意味着目前重技术轻管理的思路并没有实质性的改变信息安全管理（Information Security Management，ISM）的有效性。

只有在宏观层次上实施了良好的信息安全管理，即采用国际上公认的最佳实践或规则集等，才能使微观层次上的安全，如物理措施等，实现其恰当的作用。采用信息安全管理体系（ISMS，Information Security Management System）并得到认证毫无疑问是组织应该考虑的方案之一。事实上，也只有这样才能真正站在组织的高度上来对待信息安全问题。

ISMS是关于信息安全的管理体系，是整个管理体系的一部分。它基于业务风险方法来建立、实施、运行、监视、评审、保持和改进信息安全。ISMS的概念已经跳出了传统的“为了安全信息而信息安全”的理解，它强调的是基于业务风险方法来组织信息安全活动。

基于上述情况，为了在信息安全领域树立起正确观念并培养专业人才，为了把我国信息安全领域专家学者们近几年来自主研究出的得到实践验证了的支持ISMS的措施和手段更进一步推广，为了减少各类组织面对风险可能产生的损失，我社组织他们围绕ISMS编写了信息安全管理体系丛书。丛书成功入选国家“十二五”重点规划图书。

《信息安全管理体系实施指南》是丛书13个分册中的关键分册，其共分三篇：标准解读、标准落地及延伸阅读。

标准解读部分，对 GB/T 22080—2008/ISO/IEC 27001：2005《信息技术

安全技术 信息安全管理体系 要求》的解读力求通俗易懂，用了大量图示，也列举了大量示例，以帮助读者利用已有的经验来理解信息安全管理体系中晦涩的概念。

标准落地部分，主要介绍标准如何实施，本部分内容参考了ISO/IEC 27003：2010，但又有显著不同：尽量考虑国内部署信息安全管理体系的特殊情况，不但介绍标准实施的基本步骤，而且将文件设计的编写单独作为一章进行讨论，给出了从标准条款到文件目录，从文件目录到单个文件的概要和大纲，直至组织针对这些概要和大纲所选择的具体控制措施，最后成文的整个过程，力争做到“授人以渔”。

延伸阅读部分，主要为想深入研究信息安全管理体系的读者准备，一部分是信息安全管理体系标准族的概述，另一部分是除了 GB/T 22080—2008/ISO/IEC 27001：2005之外的已经出版的重要标准的综述。

本书成文深入浅出，通俗易懂，大量使用生活化的例子对其中的概念进行类比，避免了“以理论解释理论”的惯常套路，极有利于读者的直观理解。