论信息安全管理体系ISMS认证对企业运营的重要性

王雁

摘 要 随着信息时代的快速发展，业务需求驱使企业开展信息安全管理工作，建立信息安全管理体系，降低信息安全风险，确保信息安全目标。根据《ISO/IEC 27001：2013信息技术安全技术信息安全管理体系要求》，信息安全就是保护企业信息，确保保密性、完整性、可用性保持在适当水平。企业通过识别信息资产，根据保密性、完整性、可用性三性影响因素定义重大信息资产评定规则，通过风险评估准则评定企业信息安全风险等级。根据信息安全管理体系ISO27001风险等级，选择合适的控制目标和控制方式将信息安全风险控制在可接受的范围，保持公司商务持续性发展，为企业正常运营保驾护航。

关键词 信息安全 管理体系 风险评估

一、引言

为提高企业的信息安全管理水平，保障企业的生产、经营、服务和日常管理活动，防止由于人员的流失、信息系统故障、数据的丢失、设备运行的间断、敏感信息的泄密导致的业务中断或安全事故，企业迫切需要依据《ISO/IEC 27001：2013信息技术安全技术信息安全管理体系要求》标准要求，建立了文件化的信息安全管理体系。信息安全管理体系是企业实施信息安全管理工作的纲领和行动准则，用于贯彻企业的信息安全管理方针，实现企业信息安全管理工作的有效运行和持续改进。

二、信息安全管理体系认证范围全面

企业信息安全管理体系认证范围的确定，主要考虑到企业的实际业务特点和资源的合理利用，在全公司范围内建立信息安全管理体系，如相关方包括政府、监管单位、认证单位、客户、供应商、管理层、内部部门及员工等。建立与服务客户、安全服务厂商、上级监管单位、外部安全咨询专家等外部组织的联系，以便跟踪行业趋势，学习各类先进的信息安全技术和管理手段。各相关方的信息安全要求和期望均应及时识别，并在实际业务开展时应遵照执行，有利于公司全面的提高公司信息安全管理水平，保障业务稳定发展的需求。

三、信息安全管理体系认证管理流程梳理

企业依据《ISO/IEC 27001：2013信息技术安全技术信息安全管理体系要求》的要求，需考虑行业的特点，根据企业主要业务流程所产生的信息流及其依赖的计算环境进行安全要求的确定。对企业现行业务流程进行全面的了解，按照标准评估企业的信息安全体系，识别各业务流程采取的管理流程和管理职责。对照标准要求，寻找改进的机会，根据信息安全管理体系的风险评估方法论、国家标准，制定科学、有效、适用的风险评估方法。

四、信息安全管理體系认证资产保护

信息安全管理体系包括信息安全风险的来源识别、风险处置、风险跟踪验证以及信息安全管理体系各流程的落地跟踪，还需要对由于外部组织访问而带来的安全风险进行评估，则通过信息安全管理体系ISO27001审核认证过程来确保安全目标达成，因此信息安全管理体系认证每个过程具有指导性作用。

第一，在信息安全管理体系认证中，通过建立信息安全管理组织，启动和控制企业信息安全工作的实施，批准信息安全方针与策略，确定信息安全管理人员和职责分工，协调整个信息安全管理体系的有效运行。

第二，信息安全管理体系标准将企业信息资产主要分为五大类，包括人员资产、电子数据、文档资产、软件资产和硬件资产。针对信息安全管理体系指出的信息安全特性信息资产保密性、完整性、可用性，制定评价准则。其中，保密性按信息的访问权限等级或信息的存储、传输及处理设施/人员涉及信息的访问权限等级来评估资产保密性的要求等级划分；完整性按资产的准确性或完整性受损而造成组织的业务持续或形象声誉受影响的严重程度来评估；可用性按资产使用或允许中断的时间次数来评估。通过信息资产三性评价，识别企业重大信息资产，做好生产运营和信息安全相关的信息资产管理，做好各体系流程监控工作。

第三，建立和维护信息安全风险标准，包括风险接受标准和实施信息安全风险评估的标准，确保信息安全风险评估活动产生一致性，产生有效的和可比较的结果。评估信息安全风险，在信息安全管理体系范围内，通过信息安全风险评估流程，识别由于信息的机密性、完整性和可用性的丧失带来的风险，评估识别的风险产生的潜在后果，评估识别的风险转化为事件的可能性，将风险分析结果与定义的风险标准进行比较，最终确定信息资产风险的等级，根据风险等级确定风险处置的优先等级。依据风险评估的结论，选择适当的信息安全风险处置方式；确定信息安全风险处置所需的各项控制措施，最终得到风险责任人对信息安全风险处置计划和残余风险接受的审核。

从业务需求出发，遵从风险管理的理念，注重过程管理，建立和实施信息安全管理体系，确保与信息安全相关的资源、技术、管理等因素处于受控状态，形成文件并加以实施、保持和持续改进，有效防范各类安全事故或人为有意的破坏事件，保证企业信息的保密性、完整性和可用性，确保各项业务的连续性。

在业务需求及信息安全目标的驱动下，企业建立信息安全管理体系及方针，本着预防为主的指导思想，采取各项主动预防措施，建立信息安全和风险防控体系，增强全员的安全意识，完善应急机制，加强内部安全检查，做到防患于未然；建立有效的信息安全风险评估和管理机制，及时采取相应的技术及管理控制措施，控制风险，保证业务持续、稳定、安全运行；持续优化信息安全管理，不断改进技术控制措施，逐步增强人员信息安全意识，规范人员行为，实现信息安全水平的全面提升，为企业的稳定运营保驾护航。

（作者单位为鄂尔多斯市源盛光电有限责任公司）