宏觀管理決定微觀安全——《信息安全管理體系實施指南》

曹劍鋒

隨著信息化程度的不斷提高，信息安全的重要性得到了前所未有的重視。《2006—2020年國家信息化發(fā)展戰(zhàn)略》中認為“信息安全的重要性與日俱增，成為各國面臨的共同挑戰(zhàn)”。

雖然國內外重視程度都很高，但是“各國面臨的共同挑戰(zhàn)”并沒有得到很好的解決，具體表現(xiàn)為信息安全事件發(fā)生率居高不下。根據最近的2010/2011Computer Crime and Security Survey報告，有41.1%的受訪組織經歷了信息安全事件，攻擊源來自內部用戶濫用網絡或郵件（Insider abuse of Net access or email）的 占24.8%。國內雖然沒有權威的統(tǒng)計數據，但是根據 CNCERT/CC（http：//www.cert.org.cn/，國家互聯(lián)網應急中心）的“被黑網站統(tǒng)計”和“惡意代碼排行”欄目推斷，不會比國外的情況更好。而與此同時，被試組織殺毒軟件和防火墻的使用率分別達到了97%和94.9%，但49%的被試組織沒有安全意識教育或沒有相應的有效性測量機制，這意味著目前重技術輕管理的思路并沒有實質性的改變信息安全管理（Information Security Management，ISM）的有效性。

只有在宏觀層次上實施了良好的信息安全管理，即采用國際上公認的最佳實踐或規(guī)則集等，才能使微觀層次上的安全，如物理措施等，實現(xiàn)其恰當的作用。采用信息安全管理體系（ISMS，Information Security Management System）并得到認證毫無疑問是組織應該考慮的方案之一。事實上，也只有這樣才能真正站在組織的高度上來對待信息安全問題。

ISMS是關于信息安全的管理體系，是整個管理體系的一部分。它基于業(yè)務風險方法來建立、實施、運行、監(jiān)視、評審、保持和改進信息安全。ISMS的概念已經跳出了傳統(tǒng)的“為了安全信息而信息安全”的理解，它強調的是基于業(yè)務風險方法來組織信息安全活動。

基于上述情況，為了在信息安全領域樹立起正確觀念并培養(yǎng)專業(yè)人才，為了把我國信息安全領域專家學者們近幾年來自主研究出的得到實踐驗證了的支持ISMS的措施和手段更進一步推廣，為了減少各類組織面對風險可能產生的損失，我社組織他們圍繞ISMS編寫了信息安全管理體系叢書。叢書成功入選國家“十二五”重點規(guī)劃圖書。

《信息安全管理體系實施指南》是叢書13個分冊中的關鍵分冊，其共分三篇：標準解讀、標準落地及延伸閱讀。

標準解讀部分，對 GB/T 22080—2008/ISO/IEC 27001：2005《信息技術

安全技術 信息安全管理體系 要求》的解讀力求通俗易懂，用了大量圖示，也列舉了大量示例，以幫助讀者利用已有的經驗來理解信息安全管理體系中晦澀的概念。

標準落地部分，主要介紹標準如何實施，本部分內容參考了ISO/IEC 27003：2010，但又有顯著不同：盡量考慮國內部署信息安全管理體系的特殊情況，不但介紹標準實施的基本步驟，而且將文件設計的編寫單獨作為一章進行討論，給出了從標準條款到文件目錄，從文件目錄到單個文件的概要和大綱，直至組織針對這些概要和大綱所選擇的具體控制措施，最后成文的整個過程，力爭做到“授人以漁”。

延伸閱讀部分，主要為想深入研究信息安全管理體系的讀者準備，一部分是信息安全管理體系標準族的概述，另一部分是除了 GB/T 22080—2008/ISO/IEC 27001：2005之外的已經出版的重要標準的綜述。

本書成文深入淺出，通俗易懂，大量使用生活化的例子對其中的概念進行類比，避免了“以理論解釋理論”的慣常套路，極有利于讀者的直觀理解。