从3方面建立完善的信息安全管理体系（图）

　　技术本身实际上只是信息安全管理体系里的一小部分。不管一项技术有多先进，都只不过是辅助实现信息安全的手段而已。我们并不是认为技术不重要，但在信息安全的架构里，它一定要在好的信息安全管理的基础上。

　　安全是一种“买不到”的东西。打开包装箱后即插即用并提供足够安全水平的安全防护体系是不存在的。因此，一些企业虽然安装了一些安全产品，但并不等于拥有了一个真正的安全体系。建立一个有效的信息安全体系首先需要打好信息安全管理的基础，其次制定出相关的管理策略和规章制度，然后才是在安全产品的帮助下搭建起整个架构。

　　一、体系建立的准备

　　BS7799-2（信息安全管理规范），详细说明了建立、实施和维护信息安全管理系统（ISMS）的要求，指出实施组织需遵循某一风险评估来鉴定最适宜的控制对象，并对自己的需求采取适当的控制。建立信息安全管理体系thldl.org.cn应该如何准备？具体有以下步骤（如图1所示）。

　　图1定义信息安全管理体系的步骤

　　（1）定义信息安全策略

　　信息安全策略是组织信息安全的最高方针，需要根据组织内各个部门的实际情况，分别制订不同的信息安全策略。例如，规模较小的组织单位可能只有一个信息安全策略，并适用于组织内所有部门、员工；而规模大的集团组织则需要制订一个信息安全策略文件，分别适用于不同的子公司或各分支机构。信息安全策略应该简单明了、通俗易懂，并形成书面文件，发给组织内的所有成员。同时要对所有相关员工进行信息安全策略的培训，对信息安全负有特殊责任的人员要进行特殊的培训，以使信息安全方针真正植根于组织内所有员工的脑海并落实到实际工作中。

　　(2)定义ISMS的范围

　　确定ISMS的范围，即明确在哪些领域重点进行信息安全管理。组织需要根据自己的实际情况，在整个组织范围内、或者在个别部门或领域构架ISMS。因此，在本阶段，应将组织划分成不同的信息安全控制领域，以易于组织对有不同需求的领域进行适当的信息安全管理。

　　(3)进行信息安全风险评估

　　信息安全风险评估的复杂程度将取决于风险的复杂程度和受保护资产的敏感程度，所采用的评估措施应该与组织对信息资产风险的保护需求相一致。风险评估主要对ISMS范围内的信息资产进行鉴定和估价，然后对信息资产面对的各种威胁和脆弱性进行评估，同时对已存在的或规划的安全管制措施进行鉴定。风险评估主要依赖于商业信息和系统的性质、使用信息的商业目的、所采用的系统环境等因素，组织在进行信息资产风险评估时，需要将直接后果和潜在后果一并考虑。

　　(4)信息安全风险管理

　　根据风险评估的结果进行相应的风险管理。信息安全风险管理主要包括以下几种措施：

　　降低风险：在考虑转嫁风险前，应首先考虑采取措施降低风险；

　　避免风险：有些风险很容易避免，例如通过采用不同的技术、更改操作流程、采用简单的技术措施等；

　　转嫁风险：通常只有当风险不能被降低或避免、且被第三方（被转嫁方）接受时才被采用。一般用于那些低概率、但一旦风险发生时会对组织产生重大影响的风险。

　　接受风险：用于那些在采取了降低风险和避免风险措施后，出于实际和经济方面的原因，只要组织进行运营，就必然存在并必须接受的风险。