信息安全管理體系是組織管理體系的一部分，用于管理相關(guān)信息安全方面的管理體系，以使組織履行合規(guī)義務(wù)，應(yīng)對風(fēng)險和機(jī)遇。在互聯(lián)網(wǎng)的世界里，所有類型和規(guī)模的組織都要采用不同方式收集、處理、存儲和傳輸信息。相關(guān)過程、系統(tǒng)、網(wǎng)絡(luò)及其操作、處理和保護(hù)的信息安全具有固有的脆弱性，容易受到故意或意外的威脅，這些潛在的信息安全風(fēng)險一直存在，并時常會發(fā)生。有效的信息安全管理可以降低各方的威脅和脆弱性，從而為社會持續(xù)地創(chuàng)造價值。

一、信息安全管理體系的起源

隨著在世界范圍內(nèi)信息化水平的不斷發(fā)展，信息安全逐漸成為人們關(guān)注的焦點(diǎn)，各機(jī)構(gòu)、組織、個人都在探尋如何保障信息安全的問題。

1995年，英國首次發(fā)布BS 7799-1:1995《信息安全管理實(shí)施細(xì)則》標(biāo)準(zhǔn)，該標(biāo)準(zhǔn)提供了有關(guān)信息安全的實(shí)施規(guī)則，旨在確定工商業(yè)信息安全控制范圍的參考基準(zhǔn)。美國、挪威、瑞典、芬蘭、澳大利亞等國也定了有關(guān)信息安全的本國標(biāo)準(zhǔn)。

1998年，英國發(fā)布了BS 7799的第二部分，BS 7799-2:1998《信息安全管理體系規(guī)范》，該標(biāo)準(zhǔn)規(guī)定信息安全管理體系要求與信息安全控制要求，它是一個組織的全面或部分信息安全管理體系評估的基礎(chǔ)，它可以作為一個正式認(rèn)證方案的根據(jù)。

1999年，BS 7799-1和BS 7799-2經(jīng)過修訂又重新予以發(fā)布。新版的BS 7799考慮了信息處理技術(shù)，尤其是在網(wǎng)絡(luò)和通信領(lǐng)域的應(yīng)用和發(fā)展，強(qiáng)調(diào)商務(wù)信息安全及信息安全的責(zé)任。

2000年，BS 7799-1：1999《信息安全管理實(shí)施細(xì)則》通過了ISO的認(rèn)可，ISO發(fā)布了ISO 17799:2000《信息技術(shù) 信息安全管理實(shí)施細(xì)則》標(biāo)準(zhǔn)。

2002年，英國對BS 7799-2再次修訂，發(fā)布BS 7799-2:2002《信息安全管理體系規(guī)范》標(biāo)準(zhǔn)。

2005年，BS 7799-2:2002被ISO所采納，同年10月，ISO推出ISO 27001:2005《信息技術(shù) 安全技術(shù) 信息安全管理體系 要求》標(biāo)準(zhǔn)。

2013年，ISO對ISO/IEC 27001:2015標(biāo)準(zhǔn)進(jìn)行了修訂，相繼發(fā)布了ISO/IEC 27001:2013《信息技術(shù) 安全技術(shù) 信息安全管理體系 要求》標(biāo)準(zhǔn)和ISO/IEC 27002:2013《信息技術(shù) 安全技術(shù) 信息安全控制實(shí)施規(guī)程》標(biāo)準(zhǔn)。

2016年，ISO發(fā)布ISO/IEC 27000:2016《信息技術(shù) 安全技術(shù) 信息安全管理體系 概述與詞匯》標(biāo)準(zhǔn)。

建立ISMS是一項(xiàng)艱苦而細(xì)致的工作，需要雙方的積極協(xié)作和配合。網(wǎng)絡(luò)企業(yè)或機(jī)構(gòu)的領(lǐng)導(dǎo)層要對ISMS的建立做出承諾，同時配備必要的人力、物力和財力資源，網(wǎng)絡(luò)企業(yè)或機(jī)構(gòu)的全體員工也要在體系建立過程中給予咨詢師充分的配合。廣州宇鴻管理咨詢有限公司將根據(jù)網(wǎng)絡(luò)企業(yè)或機(jī)構(gòu)的需要，提供ISMS的全過程專業(yè)化的咨詢服務(wù)。

按照建立ISMS信息安全管理體系的要求，我們把整個過程分為五個階段，其實(shí)施流程圖如下：

第一階段：準(zhǔn)備階段

★ISO/IEC27001：2005標(biāo)準(zhǔn)培訓(xùn)

此培訓(xùn)包含信息安全意識培訓(xùn)和標(biāo)準(zhǔn)精要培訓(xùn)兩部分，時間兩天，通過培訓(xùn)使網(wǎng)絡(luò)企業(yè)或機(jī)構(gòu)管理人員熟悉了解ISO/IEC27001：2005標(biāo)準(zhǔn)的基本內(nèi)容和要求，提高網(wǎng)絡(luò)企業(yè)或機(jī)構(gòu)全體員工的信息安全意識。

★差距分析

廣州宇鴻咨詢師會同網(wǎng)絡(luò)企業(yè)或機(jī)構(gòu)有關(guān)人員對現(xiàn)行的信息安全管理體系與ISO/IEC27001：2005信息安全管理體系標(biāo)準(zhǔn)要求進(jìn)行比照性診斷，找出存在的問題和可以在新體系中繼續(xù)采用的管理體制，作為下一步開展工作的依據(jù)。我們建議對企業(yè)或機(jī)構(gòu)整個網(wǎng)絡(luò)系統(tǒng)作一個詳細(xì)的網(wǎng)絡(luò)安全測試，時間為期3人6天為系統(tǒng)加固和建立信息安全管理體系提供足夠的證據(jù)。

差距分析后，充分與網(wǎng)絡(luò)企業(yè)或機(jī)構(gòu)高層溝通交流信息安全存在的問題與改進(jìn)的建議，協(xié)助企業(yè)確定體系覆蓋范圍、信息安全方針、控制措施、適用性聲明等，改進(jìn)信息安全。所有問題及建議，我們會以差距分析報告的形式提交企業(yè)或機(jī)構(gòu)或機(jī)構(gòu)。

★制定詳細(xì)實(shí)施計劃

根據(jù)差距分析結(jié)果，制定出詳盡的整個體系實(shí)施工作計劃，并將每項(xiàng)工作落實(shí)到部門和具體的時間。