信息安全管理體系建設(shè)研究

     20世紀(jì)90年代以來(lái)，科學(xué)技術(shù)的高度發(fā)展已經(jīng)毋庸置疑地把我們帶進(jìn)了信息時(shí)代，隨著信息以爆炸式的速度不斷在我們生活中的每一個(gè)角落中涌現(xiàn)，如何管理信息，確保信息的安全為世人矚目,信息安全管理則成為了當(dāng)前全球的熱門(mén)話題。傳統(tǒng)的信息安全著眼于常規(guī)的信息系統(tǒng)安全設(shè)備，諸如防火墻、VPN、入侵檢測(cè)系統(tǒng)、防病毒系統(tǒng)、認(rèn)證系統(tǒng)等，構(gòu)成了信息安全的防護(hù)屏障。事實(shí)上，要保證信息安全需要有三個(gè)方面的工作要做，這就是需要技術(shù)、管理與法制。所以僅僅依靠技術(shù)保障信息安全的做法是不會(huì)達(dá)到應(yīng)有效果的，“三分技術(shù)，七分管理”這個(gè)在其他領(lǐng)域總結(jié)出來(lái)的實(shí)踐經(jīng)驗(yàn)和原則，在信息領(lǐng)域也同樣適用。因此，在信息安全的重要性日益突出、信息安全手段日新月異的今天，加強(qiáng)信息安全管理工作就顯得尤為重要。

        一、建立信息安全管理體系的作用與意義

        信息安全管理體系ISMS（Information Securitry Management Systems）是組織在整體或特定范圍內(nèi)建立信息安全方針和目標(biāo)，以及完成這些目標(biāo)所用方法的體系。它是基于業(yè)務(wù)風(fēng)險(xiǎn)方法，來(lái)建立、實(shí)施、運(yùn)行、監(jiān)視、評(píng)審、保持和改進(jìn)組織的信息安全系統(tǒng)，其目的是保障組織的信息安全。它是直接管理活動(dòng)的結(jié)果，表示成方針、原則、目標(biāo)、方法、過(guò)程、核查表（Checklists）等要素的集合，是涉及到人、程序和信息技術(shù)(Information Technology)系統(tǒng)。

        建立健全信息安全管理體系對(duì)企業(yè)的安全管理工作和企業(yè)的發(fā)展意義重大。首先，此體系的建立將提高員工信息安全意識(shí)，提升企業(yè)信息安全管理的水平，增強(qiáng)組織抵御災(zāi)難性事件的能力，是企業(yè)信息化建設(shè)中的重要環(huán)節(jié)，必將大大提高信息管理工作的安全性和可靠性，使其更好地服務(wù)于企業(yè)的業(yè)務(wù)發(fā)展。其次，通過(guò)信息安全管理體系的建設(shè)，可有效提高對(duì)信息安全風(fēng)險(xiǎn)的管控能力，通過(guò)與等級(jí)保護(hù)、風(fēng)險(xiǎn)評(píng)估等工作接續(xù)起來(lái)，使得信息安全管理更加科學(xué)有效。最后，信息安全管理體系的建立將使得企業(yè)的管理水平與國(guó)際先進(jìn)水平接軌，從而成長(zhǎng)為企業(yè)向國(guó)際化發(fā)展與合作的有力支撐。

        參照信息安全管理模型，按照先進(jìn)的信息安全管理標(biāo)準(zhǔn)建立的全面規(guī)劃、明確目的、正確部署的、組織完整的信息安全管理體系，達(dá)到動(dòng)態(tài)的、系統(tǒng)的、全員參與、制度化的、以預(yù)防為主的信息安全管理方式，實(shí)現(xiàn)用最低的成本，保障信息安全合理水平，從而保證業(yè)務(wù)的有效性與連續(xù)性。組織建立、實(shí)施與保持信息安全管理體系產(chǎn)生的作用主要有下幾點(diǎn)：

• 強(qiáng)化員工的信息安全意識(shí)，規(guī)范組織信息安全行為；
• 對(duì)組織的關(guān)鍵信息資產(chǎn)進(jìn)行全面系統(tǒng)的保護(hù)，維持競(jìng)爭(zhēng)優(yōu)勢(shì)；
• 在信息系統(tǒng)受到侵襲時(shí)，確保業(yè)務(wù)持續(xù)開(kāi)展并將損失降到最低程度；
• 使組織的生意伙伴和客戶對(duì)組織充滿信心；
• 如果通過(guò)體系認(rèn)證，表明體系符合標(biāo)準(zhǔn)，證明組織有能力保障重要信息，提高組織的知名度與信任度；
• 促使管理層堅(jiān)持貫徹信息安全保障體系。

        二、我國(guó)信息安全管理現(xiàn)狀

        我國(guó)歷來(lái)非常重視信息安全保密工作，并且從敏感性，特殊性和戰(zhàn)略性的高度把信息安全保密工作自始至終置于黨和國(guó)家的絕對(duì)領(lǐng)導(dǎo)之下。中央機(jī)要管理部門(mén)，國(guó)家安全機(jī)關(guān)，公安機(jī)關(guān)和國(guó)家保密主管部門(mén)分工協(xié)作，各司其職，形成了維護(hù)國(guó)家信息安全的管理體系。

        為加強(qiáng)信息安全管理工作，中央批準(zhǔn)成立了兩個(gè)非常重要的機(jī)構(gòu)，一個(gè)是國(guó)家信息安全產(chǎn)品測(cè)評(píng)認(rèn)證中心，負(fù)責(zé)管理和運(yùn)行國(guó)家信息安全的測(cè)評(píng)認(rèn)證體系，對(duì)信息安全產(chǎn)品，信息系統(tǒng)，對(duì)提供信息安全服務(wù)的單位以及提供信息安全服務(wù)的人員進(jìn)行測(cè)試，考試和認(rèn)證。第二個(gè)重要機(jī)構(gòu)是國(guó)家計(jì)算機(jī)網(wǎng)絡(luò)與信息安全管理中心，負(fù)責(zé)管理和運(yùn)行國(guó)家計(jì)算機(jī)網(wǎng)絡(luò)的內(nèi)容監(jiān)控和應(yīng)急協(xié)調(diào)工作。這兩個(gè)機(jī)構(gòu)目前都在國(guó)家信息安全管理中發(fā)揮著技術(shù)支撐的作用。

        為了更好地推進(jìn)我國(guó)信息安全管理工作，國(guó)家相關(guān)部門(mén)引進(jìn)了國(guó)際上著名的ISO/IEC 27001:2005《信息安全管理體系要求》和ISO/IEC 17799:2005《信息安全管理實(shí)用規(guī)則》、ISO/IEC 15408:1999《IT安全評(píng)估準(zhǔn)則》、SSE-CMM《系統(tǒng)安全工程能力成熟度模型》等信息安全管理標(biāo)準(zhǔn)，并制定了中華人民共和國(guó)國(guó)家標(biāo)準(zhǔn)GB17895-1999《計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則》、GB/T 18336:2001－信息技術(shù)安全性評(píng)估準(zhǔn)則和GB/T 20269-2006《信息安全技術(shù)信息系統(tǒng)安全管理要求》等一批重要的信息安全管理方面的標(biāo)準(zhǔn)。為配合信息安全管理的需要，國(guó)家、相關(guān)部門(mén)、行業(yè)和地方政府相繼制定了《中華人民共和國(guó)計(jì)算機(jī)信息網(wǎng)絡(luò)國(guó)際聯(lián)網(wǎng)管理暫行規(guī)定》、《商用密碼管理?xiàng)l例》、《互聯(lián)網(wǎng)信息服務(wù)管理辦法》、《計(jì)算機(jī)信息網(wǎng)絡(luò)國(guó)際聯(lián)網(wǎng)安全保護(hù)管理辦法》、《計(jì)算機(jī)病毒防治管理辦法》、《互聯(lián)網(wǎng)電子公告服務(wù)管理規(guī)定》、《軟件產(chǎn)品管理辦法》、《電信網(wǎng)間互聯(lián)管理暫行規(guī)定》、《電子簽名法》等有關(guān)信息安全管理的法律法規(guī)文件。

        我國(guó)國(guó)務(wù)院信息化工作辦公室（國(guó)信辦）還在于2006年3月啟動(dòng)了“信息安全管理標(biāo)準(zhǔn)應(yīng)用（ISMS）試點(diǎn)工作，驗(yàn)證國(guó)際上通用的信息安全管理標(biāo)準(zhǔn)（ISO/IEC 27001:2005《信息安全管理體系要求》和ISO/IEC 17799:2005《信息安全管理實(shí)用規(guī)則》）在我國(guó)的適用性和合理性，相信這項(xiàng)工作將為國(guó)家信息安全主管部門(mén)制定相關(guān)管理政策提供很重要的客觀依據(jù)，將會(huì)為政府機(jī)關(guān)、稅務(wù)系統(tǒng)、大型制造企業(yè)、證券交易系統(tǒng)、醫(yī)療保險(xiǎn)系統(tǒng)、住房公積金管理等行業(yè)和系統(tǒng)建立實(shí)施ISMS提供寶貴的經(jīng)驗(yàn)和借鑒，將會(huì)為推動(dòng)我國(guó)信息安全管理工作的順利進(jìn)行起到積極的作用。

        雖然信息安全管理工作正在積極的推動(dòng)與建設(shè)，但是在信息安全管理工作中目前存在的不少的問(wèn)題，信息安全管理現(xiàn)狀仍還比較混亂，主要表現(xiàn)為：

• 缺乏權(quán)威、統(tǒng)一、專(zhuān)門(mén)的組織、規(guī)劃、管理和實(shí)施協(xié)調(diào)的立法管理機(jī)構(gòu)，致使我國(guó)現(xiàn)有的一些信息安全管理方面的法律法規(guī)不成體系和執(zhí)行難度較大。
• 信息安全管理并沒(méi)有在IT系統(tǒng)建設(shè)過(guò)程中充分考慮，導(dǎo)致后期安全建設(shè)和管理工作比較被動(dòng)，同時(shí)業(yè)務(wù)的發(fā)展及IT的建設(shè)與信息安全管理建設(shè)不對(duì)稱；
• 目前大部分的安全建設(shè)多局限于局部性地使用安全產(chǎn)品，或使用有洞補(bǔ)洞的方式被動(dòng)地解決問(wèn)題，缺乏科學(xué)的、全面的安全管理規(guī)劃；
• 目前的技術(shù)人員多偏重于網(wǎng)路、主機(jī)及應(yīng)用系統(tǒng)開(kāi)發(fā)，安全管理的力量薄弱；
• 信息安全管理的一個(gè)重要方面是運(yùn)用法律法規(guī)的約定方法去進(jìn)行管理，但是多數(shù)企業(yè)沒(méi)有切實(shí)可行的管理辦法。
• 信息安全管理不僅僅是CIO或CFO的事情，這項(xiàng)工作更應(yīng)該引入企業(yè)高層領(lǐng)導(dǎo)的重視與參與，但是多數(shù)企業(yè)的領(lǐng)導(dǎo)還是沒(méi)有時(shí)間和精力顧及這方面的工作。

        三、信息安全管理標(biāo)準(zhǔn)

        1、國(guó)際信息安全管理標(biāo)準(zhǔn)

        ISO和IEC是世界范圍的標(biāo)準(zhǔn)化組織，各國(guó)的相關(guān)標(biāo)準(zhǔn)化組織都是其成員，他們通過(guò)各技術(shù)委員會(huì)，參與相關(guān)標(biāo)準(zhǔn)的制定。近年來(lái)，國(guó)際ISO/IEC和西方一些國(guó)家開(kāi)始發(fā)布和改版一系列信息安全管理標(biāo)準(zhǔn)，使安全管理標(biāo)準(zhǔn)進(jìn)入了一個(gè)繁忙的改版期。這表明，信息安全管理標(biāo)準(zhǔn)已經(jīng)從零星的、隨意的、指南性標(biāo)準(zhǔn)，逐漸衍變成為層次化、體系化、覆蓋信息安全管理全生命周期的信息安全管理體系。

        ISO/IEC聯(lián)合技術(shù)委員會(huì)子委員會(huì)27(ISO/IEC JTC1 SC27)是信息安全領(lǐng)域最權(quán)威和國(guó)際認(rèn)可的標(biāo)準(zhǔn)化組織，它已經(jīng)為信息安全保障領(lǐng)域發(fā)布了一系列的國(guó)際標(biāo)準(zhǔn)和技術(shù)報(bào)告，目前最主要的標(biāo)準(zhǔn)是ISO/IEC 13335、ISO/IEC 27000系列等。

        ISO/IEC JTC1 SC27的信息安全管理標(biāo)準(zhǔn)（ISO 13335）《IT安全管理方針》系列（第一至第五部分），已經(jīng)在國(guó)際社會(huì)中開(kāi)發(fā)了很多年。5個(gè)部分組成分別如下：ISO/IEC13335-1:1996《IT安全的概念與模型》；ISO/IEC13335-2:1997《IT安全管理和計(jì)劃制定》；ISO/IEC13335-3:1998《IT安全管理技術(shù)》；ISO/IEC13335-4:2000《安全措施的選擇》；ISO/IEC13335-5《網(wǎng)絡(luò)安全管理方針》。27000系列綜合信息安全管理系統(tǒng)要求、風(fēng)險(xiǎn)管理、度量和測(cè)量以及實(shí)施指南等一系列國(guó)際標(biāo)準(zhǔn)，是目前國(guó)際信息安全管理標(biāo)準(zhǔn)研究的重點(diǎn)。27000 系列當(dāng)前已經(jīng)發(fā)布和在研究的有6個(gè)，分別為：1、ISO/IEC 27000《信息安全管理體系 基礎(chǔ)和詞匯》；2、ISO/IEC 27001：2005《信息安全管理體系要求》；3、ISO/IEC 27002（17799：2005）《信息安全管理實(shí)用規(guī)則》； 4、ISO/IEC 27003《信息安全管理體系實(shí)施指南》；5、ISO/IEC 27004《信息安全管理測(cè)量》；6、ISO/IEC 27005《信息安全風(fēng)險(xiǎn)管理》。隨著ISO/IEC 27000系列標(biāo)準(zhǔn)的規(guī)劃和發(fā)布，ISO/IEC已形成了以ISMS為核心的一整套信息安全管理體系。

        2、我國(guó)信息安全管理相關(guān)標(biāo)準(zhǔn)

        與國(guó)外相比，我國(guó)的信息安全領(lǐng)域的標(biāo)準(zhǔn)制定工作起步較晚，但隨著2002年全國(guó)信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)的成立，信息安全相關(guān)標(biāo)準(zhǔn)的建設(shè)工作開(kāi)始走向了規(guī)范化管理和發(fā)展的快車(chē)道。在全國(guó)信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)中，成立了信息安全標(biāo)準(zhǔn)體系與協(xié)調(diào)工作組(WG1)、鑒別與授權(quán)工作組(WG4)、信息安全評(píng)估工作組(WG5)和信息安全管理工作組(WG7)四個(gè)工作組，它們?cè)趯?duì)我國(guó)信息安全保障體系建設(shè)和信息安全產(chǎn)業(yè)的發(fā)展方面，起到了積極作用。在我國(guó)，另一個(gè)與信息安全標(biāo)準(zhǔn)有關(guān)的組織就是中國(guó)通信標(biāo)準(zhǔn)化協(xié)會(huì)下設(shè)的網(wǎng)絡(luò)與信息安全技術(shù)工作委員會(huì)，下設(shè)四個(gè)工作組，即有線網(wǎng)絡(luò)安全工作組（WG1）、無(wú)線網(wǎng)絡(luò)安全工作組（WG2）、安全管理工作組（WG3）、安全基礎(chǔ)設(shè)施工作組（WG4）。

        近年來(lái)，我國(guó)對(duì)信息安全標(biāo)準(zhǔn)的制定與實(shí)施工作非常重視，不僅引進(jìn)了國(guó)際上著名的ISO/IEC 27001:2005《信息安全管理體系要求》和ISO/IEC 17799:2005《信息安全管理實(shí)用規(guī)則》、ISO/IEC 15408:1999《IT安全評(píng)估準(zhǔn)則》、SSE-CMM《系統(tǒng)安全工程能力成熟度模型》等信息安全管理標(biāo)準(zhǔn)。而且，為了更好地推進(jìn)我國(guó)信息安全管理工作，相關(guān)部門(mén)還制定了中華人民共和國(guó)國(guó)家標(biāo)準(zhǔn)GB17895-1999《計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則》、GB/T 18336:2001－信息技術(shù)安全性評(píng)估準(zhǔn)則和GB/T 20269-2006《信息安全技術(shù)信息系統(tǒng)安全管理要求》等一批重要的信息安全管理方面的標(biāo)準(zhǔn)。

        近年來(lái)(特別是2005年)，信息安全管理標(biāo)準(zhǔn)化工作中主要的研究熱點(diǎn)包括：信息安全國(guó)際標(biāo)準(zhǔn)的轉(zhuǎn)化(主要是國(guó)際ISO/IEC 17799和ISO/IEC 13335的采標(biāo)工作)，風(fēng)險(xiǎn)管理指南的標(biāo)準(zhǔn)化工作(主要是風(fēng)險(xiǎn)評(píng)估和風(fēng)險(xiǎn)管理指南的標(biāo)準(zhǔn)化工作)，以及信息系統(tǒng)評(píng)估的標(biāo)準(zhǔn)制定工作(主要是信息系統(tǒng)安全保障評(píng)估框架標(biāo)準(zhǔn)的編制工作等)，對(duì)促進(jìn)信息安全管理工作起到了良好的推進(jìn)作用。

        四、信息安全管理體系模型

        信息安全管理體系模型一般被認(rèn)為是安全策略的正式陳述（formal presentation），并由系統(tǒng)組織強(qiáng)制實(shí)施，用以檢驗(yàn)安全策略的完整性和一致性，它描述的是組織為貫徹實(shí)施安全策略而必須采取的所有安全機(jī)制的組合。信息安全管理是一個(gè)持續(xù)發(fā)展的過(guò)程，像其他管理過(guò)程那樣，它也遵循著一般性的循環(huán)模式，信息安全管理體系模型就是我們常說(shuō)的PDCA模型，見(jiàn)圖5.1。

5.1  PDCA模型

        計(jì)劃（Plan）—— 這是信息安全管理周期的起點(diǎn)，作為安全管理的準(zhǔn)備階段，為后續(xù)活動(dòng)提供基礎(chǔ)和依據(jù)。計(jì)劃階段的活動(dòng)包括：建立組織機(jī)構(gòu)，明晰責(zé)任，確定安全目標(biāo)、戰(zhàn)略和策略，進(jìn)行風(fēng)險(xiǎn)評(píng)估，選擇安全措施，并在明確安全需求的基礎(chǔ)上制定安全計(jì)劃、業(yè)務(wù)連續(xù)性計(jì)劃、意識(shí)培訓(xùn)等信息安全管理程序和過(guò)程。 

        實(shí)施（Do）—— 實(shí)施階段是實(shí)現(xiàn)計(jì)劃階段確定目標(biāo)的過(guò)程，包括安全策略、所選擇的安全措施或控制、安全意識(shí)和培訓(xùn)程序等。

        檢查（Check）—— 信息安全實(shí)施過(guò)程的效果如何，需要通過(guò)監(jiān)視、審計(jì)、復(fù)查、評(píng)估等手段來(lái)進(jìn)行檢查，檢查的依據(jù)就是計(jì)劃階段建立的安全策略、目標(biāo)、程序，以及標(biāo)準(zhǔn)、法律法規(guī)和實(shí)踐經(jīng)驗(yàn)，檢查的結(jié)果是進(jìn)一步采取措施的依據(jù)。

        改進(jìn)（Action）—— 如果檢查發(fā)現(xiàn)安全實(shí)施的效果不能滿足計(jì)劃階段建立的需求，或者有意外事件發(fā)生，或者某些因素引起了新的變化，經(jīng)過(guò)管理層認(rèn)可，需要采取應(yīng)對(duì)措施進(jìn)行改進(jìn)，并按照已經(jīng)建立的響應(yīng)機(jī)制來(lái)行事，必要時(shí)進(jìn)入新的一輪信息安全管理周期，以便持續(xù)改進(jìn)和發(fā)展信息安全。

        五、信息安全管理體系建設(shè)思路

        信息安全管理體系（ISMS）是一個(gè)系統(tǒng)化、程序化和文件化的管理體系，屬于風(fēng)險(xiǎn)管理的范疇，體系的建立需要基于系統(tǒng)、全面、科學(xué)的安全風(fēng)險(xiǎn)評(píng)估。ISM體現(xiàn)預(yù)防控制為主的思想，強(qiáng)調(diào)遵守國(guó)家有關(guān)信息安全的法律法規(guī)，強(qiáng)調(diào)全過(guò)程和動(dòng)態(tài)控制，本著控制費(fèi)用與風(fēng)險(xiǎn)平衡的原則，合理選擇安全控制方式保護(hù)組織所擁有的關(guān)鍵信息資產(chǎn)，確保信息的保密性、完整性和可用性，從而保持組織的競(jìng)爭(zhēng)優(yōu)勢(shì)和業(yè)務(wù)運(yùn)作的持續(xù)性。

        構(gòu)建信息安全管理體系（ISMS）不是一蹴而就的，也不是每個(gè)企業(yè)都使用一個(gè)統(tǒng)一的模板，不同的組織在建立與完善信息安全管理體系時(shí)，可根據(jù)自己的特點(diǎn)和具體情況，采取不同的步驟和方法。但總體來(lái)說(shuō)，建立信息安全管理體系一般要經(jīng)過(guò)以下幾個(gè)主要步驟：

        1、信息安全管理體系策劃與準(zhǔn)備

        策劃與準(zhǔn)備階段主要是做好建立信息安全管理體系的各種前期工作。內(nèi)容包括教育培訓(xùn)、擬定計(jì)劃、安全管理發(fā)展情況調(diào)研，以及人力資源的配置與管理。

        2、確定信息安全管理體系適用的范圍

        信息安全管理體系的范圍就是需要重點(diǎn)進(jìn)行管理的安全領(lǐng)域。組織需要根據(jù)自己的實(shí)際情況，可以在整個(gè)組織范圍內(nèi)、也可以在個(gè)別部門(mén)或領(lǐng)域內(nèi)實(shí)施。在本階段的工作，應(yīng)將組織劃分成不同的信息安全控制領(lǐng)域，這樣做易于組織對(duì)有不同需求的領(lǐng)域進(jìn)行適當(dāng)?shù)男畔�安全管理。在定義適用范圍時(shí)，應(yīng)重點(diǎn)考慮組織的適用環(huán)境、適用人員、現(xiàn)有IT技術(shù)、現(xiàn)有信息資產(chǎn)等。

        3、現(xiàn)狀調(diào)查與風(fēng)險(xiǎn)評(píng)估

        依據(jù)有關(guān)信息安全技術(shù)與管理標(biāo)準(zhǔn)，對(duì)信息系統(tǒng)及由其處理、傳輸和存儲(chǔ)的信息的機(jī)密性、完整性和可用性等安全屬性進(jìn)行調(diào)研和評(píng)價(jià)，以及評(píng)估信息資產(chǎn)面臨的威脅以及導(dǎo)致安全事件發(fā)生的可能性，并結(jié)合安全事件所涉及的信息資產(chǎn)價(jià)值來(lái)判斷安全事件一旦發(fā)生對(duì)組織造成的影響。

        4、建立信息安全管理框架

        建立信息安全管理體系要規(guī)劃和建立一個(gè)合理的信息安全管理框架，要從整體和全局的視角，從信息系統(tǒng)的所有層面進(jìn)行整體安全建設(shè)，從信息系統(tǒng)本身出發(fā)，根據(jù)業(yè)務(wù)性質(zhì)、組織特征、信息資產(chǎn)狀況和技術(shù)條件，建立信息資產(chǎn)清單，進(jìn)行風(fēng)險(xiǎn)分析、需求分析和選擇安全控制，準(zhǔn)備適用性聲明等步驟，從而建立安全體系并提出安全解決方案。

        5、信息安全管理體系文件編寫(xiě)

        建立并保持一個(gè)文件化的信息安全管理體系是ISO/IEC27001:2005標(biāo)準(zhǔn)的總體要求，編寫(xiě)信息安全管理體系文件是建立信息安全管理體系的基礎(chǔ)工作，也是一個(gè)組織實(shí)現(xiàn)風(fēng)險(xiǎn)控制、評(píng)價(jià)和改進(jìn)信息安全管理體系、實(shí)現(xiàn)持續(xù)改進(jìn)不可少的依據(jù)。在信息安全管理體系建立的文件中應(yīng)該包含有：安全方針文檔、適用范圍文檔、風(fēng)險(xiǎn)評(píng)估文檔、實(shí)施與控制文檔、適用性聲明文檔。

        6、信息安全管理體系的運(yùn)行與改進(jìn)

        信息安全管理體系文件編制完成以后，組織應(yīng)按照文件的控制要求進(jìn)行審核與批準(zhǔn)并發(fā)布實(shí)施，至此，信息安全管理體系將進(jìn)入運(yùn)行階段。在此期間，組織應(yīng)加強(qiáng)運(yùn)作力度，充分發(fā)揮體系本身的各項(xiàng)功能，及時(shí)發(fā)現(xiàn)體系策劃中存在的問(wèn)題，找出問(wèn)題根源，采取糾正措施，并按照更改控制程序要求對(duì)體系予以更改，以達(dá)到進(jìn)一步完善信息安全管理體系的目的。

        7、信息安全管理體系審核

        體系審核是為獲得審核證據(jù)，對(duì)體系進(jìn)行客觀的評(píng)價(jià)，以確定滿足審核準(zhǔn)則的程度所進(jìn)行的系統(tǒng)的、獨(dú)立的并形成文件的檢查過(guò)程。體系審核包括內(nèi)部審核和外部審核(第三方審核)。內(nèi)部審核一般以組織名義進(jìn)行，可作為組織自我合格檢查的基礎(chǔ)；外部審核由外部獨(dú)立的組織進(jìn)行，可以提供符合要求（如ISO/IEC27001）的認(rèn)證或注冊(cè)。

        信息安全管理體系的建立是一個(gè)目標(biāo)疊加的過(guò)程，是在不斷發(fā)展變化的技術(shù)環(huán)境中進(jìn)行的，是一個(gè)動(dòng)態(tài)的、閉環(huán)的風(fēng)險(xiǎn)管理過(guò)程，要想獲得有效的成果，需要從評(píng)估、防護(hù)、監(jiān)管、響應(yīng)到恢復(fù)，這些都需要從上到下的參與和重視，否則只能是流于形式與過(guò)程，起不到真正有效的安全控制的目的和作用。