信息安全管理体系是在组织内部建立信息安全管理目标，以及完成这些目标所用方法的体系。ISO/LEC27001是建立、实施和维持信息安全管理体系的标准，通过确定信息安全管理体系范围、制定信息安全方针、明确管理职责、以风险评估为基础，选择控制目标与控制方式等活动建立信息安全管理体系。有效的企业安全体系将成为现代企业发展的基本要求。作为软件行业，好的信息安全体系已是企业的核心竞争力。

　　本文从ISO27000的改版，企业将如何针对新的标准与新的控制措施调整与改进自身信息安全管理体系作出相应解读。

　　1、引言

　　如今随着信息化的步伐日益加速以及信息相关技术的飞猛发展，信息资源也日渐成为所有企业维持正常运转的重要资源。信息以及载体信息系统、网络等已经成为了企业生存和发展的重要资产。然而企业的信息安全和数据泄露仍然是企业管理者关注的主要问题之一。大部分企业基于企业实际情况，通过引入国际信息安全管理体系IS027000以及通过最佳的业务实践，建立、实施、运行、监视、评审、保持和改进文件化的信息安全管理体系(即ISMS)，实现对信息安全的预控、在控、可控、能控。

　　而随着2013年发布的ISO27000的改版，各行各业势必会根据自身信息安全的情况对信息安全体系作出调整。本文将针对软件行业在调整下的信息安全管理体系下，如何更好地保持和改进信息安全体系作出解读，使企业更好地依据标准体系和方法论，制定出符合企业长久发展的信息安全管理体系。

　　2、ISO标准

　　2.1ISO标准及变化

　　 ISO/IEC27000（Information Security Management System Fundamentals And Vocabulary）是信息安全管理体系基础和术语，ISO/IEC27000提供了ISMS标准族中所涉及的通用术语及基本原则，是ISMS标准族中最基础的标准之一。最新版本于2013年9月25日发布。

　　相对于2005版，新版本对于ISMS建立的基础进行了调整和明确，相较于2005年版本以资产和技术为主题，新版标准则把更多的目光投向组织业务关系，更多地考虑到组织自身及利益相关方的需求，这也是时代发展的整体趋势。新版控制措施ISO27002从旧版的11个领域更新为14个领域，删除了旧版中一些重复的和操作级的控制项。具体是旧版通信与操作管理被划分成为两个独立的领域操作安全和通信安全，足以见新版对这两个领域的重视；新增密码学和供应关系两个独立领域。新版ISO27001将旧版中4.1章节即有关建立和管理ISMS的总要求独立成出来；为了使逻辑性更加严谨，人力资源安全、资产管理以及访问控制位置发生一定改变；从章节上讲，由8个章节拓展到10个章节，重新构建了ISO标准PDCA的章节构架。

　　2.2关于PDCA模型

　　此处对于PDCA模型以及新版标准的划分做一简单说明：PDCA模式是国际认可的模型，很多著名的标准和管理体系都遵循这一模式。该模型是一个很好的周期性框架，每个阶段都与其他阶段相关联。

　　 PDCA模型分别由四部分组成：P（Plan）——建立ISMS，根据组织的整体策略和目标，确定活动的计划，包括第四至七章（组织背景、领导力、计划、支持）；D（Do）——实施和运作ISMS，实际地去完成计划中的内容，包括第八章（运行）；C（Check）——监视和评审ISMS，总结实施和运作的结果，查找问题，包括第九章（绩效评价）；A（Action）——保持和改进ISMS，对评审的结果做出处理，成功的经验要进行保持和推广，失败的教训要寻找原因，避免下次再出现同样的错误，没有解决的问题放到下一个PDCA循环中，包括第十章（改进）。

　　 PDCA模型是管理学中常用的一个模型。该模型在运作过程中，按照P-D-C-A的顺序依次进行，一次完整的循环可以看作是管理学上的一个管理周期，每经过一次循环，管理情况就会得到改善，同时进入更高的P-D-C-A周期循环，组织的管理体系不断的得到提升，管理水平也不断提高。而这四个步骤成为一个闭环，通过这个环的不断运转，使信息安全管理体系得到持续改进，使信息安全绩效螺旋上升。

　　 新的内容将使企业的侧重点不同，从上面的论述中明显可以看出新标准在企业建立信息安全体系之前加重了对企业内外环境信息安全的重视，在构建信息安全体系之前需要企业全方位考虑其组织环境、企业资源、管理现状，了解其发展所面临的机遇与风险，从而高标准、高精度、高要求来对待信息安全管理工作。

　　 对于软件行业来说，信息安全体系已初步建立和实施，主要是监视评审并持续改进自身信息安全体系的工作——PDCA模型的C和A。

　　3、软件行业信息安全现状及新标准变化下应对策略

　　 软件行业是对信息安全要求最高的行业，也是企业引入国际信息安全管理体系IS027000通过认证最多的行业。前面已经提到，软件行业已经初步建立和实施自己的信息安全体系，面对新版ISO27000的要求，大刀阔斧地重新开始构建体系势必会给企业带来大的浪费和困扰。因此，在新的要求下如何监视并改进ISMS是软件行业中企业面临的最大的问题。ISO27001新标准中把旧版4.1独立成章作为建立体系之前的组织环境的了解，将原来的领导力、可实现信息安全的计划、资源等的支持都放入构建ISMS之前，也就是说软件行业在监控并改进信息安全管理体系上要从这些方面完善自身。而这些方面在其信息安全管理措施上简单归纳为两个方面：管理和技术。企业需要通过管理和技术的双方面进行控制和管理来改善信息安全体系。

　　3.1管理角度分析

　　从管理角度考虑，企业信息安全管理体系中所需采取的安全管理方面的措施主要包括物理安全管理、数据安全管理、人员安全管理、软件安全管理、运行安全管理、系统安全管理、技术文档安全管理，通过对风险的技术性控制和管理的实施、部署后，在风险控制管理中能保证防御大量存在的威胁，技术性的控制管理手段不仅包括从简单直至复杂的各种具体的技术手段，还包括系统架构、系统培训以及一系列的软件、硬件的安全设备，这些措施和方式应该配套使用，从而保护关键数据、敏感信息及信息系统的功能。而这些也是ISO27001中第四章组织的背景、第五章领导力、第六章计划、第七章支持对企业的具体要求。

　　主要管理措施可以从几个方面出发。

　　（1）建立信息安全管理体系监督机制、在体系运行期间，要进行有效的检查、监督、反馈和沟通，保证信息安全管理体系能够按照公司制订的方针策略，满足公司业务的需求。

　　（2）根据企业自身的特点，制订可行的奖惩制度，将信息安全的管理纳入到绩效考核，直接与工作和奖金挂钩，将对违反信息安全管理体系规定进行惩罚。

　　（3）建立内部审核制度，各部门应按照信息安全管理体系的要求，进行自查和由负责部门进行随时抽查，并在每年定期组织检查，对表现好的单位给予嘉奖，同时对违反的单位进行惩罚，并进行公示;同时对信息安全审计、安全事件处理和外部组织进行反馈沟通，检查信息安全管理体系的有效性和合理性。

　　（4）考虑组织和技术等的变化对信息安全管理体系的影响，应实时更新相关的规章制度，具体变化情况如：组织变化、技术变革、业务目标流程的改变、新的威胁和风险点的出现、法律法规的变化等;通过不断的优化和改善，使信息安全管理体系能够永远适合企业业务的需要。

　　3.2技术角度分析

　　新版ISO270002控制措施中新增和调整了一些措施，涉及信息系统开发、信息安全事件管理、业务连续性管理等部分，这些要求对软件行业中企业的具体实行至关重要。从技术角度考虑，软件行业企业信息安全管理体系中所需采取的安全技术体系包括几个方面。

　　3.2.1物理环境安全信息系统硬件安全

　　这是无论旧版控制措施还是新版都没有丝毫改变的控制项，也是软件行业中企业应加强管理的基础。在公司的信息系统硬件管理上，首先对机房的硬件环境进行安全管理，包括温度、湿度、消防、电力等安全管理，对关键的应用需要采取UPS供电，同时采取相应的备份，对硬件的使用率进行实时地监控，避免硬件的使用率过高造成业务持续性的影响，另外需要对硬件的物理环境进行监控，避免非法人员的进入，同时也是对管理员的日常行动进行监控，最后需要对机房人员和物品的出入进行权限的管理和等级制度。

　　3.2.2操作系统与应用程序安全

　　这是新版控制措施新增的安全开发策略和系统开发程序等对企业新的要求，保证操作系统与应用程序的安全会保护企业在系统开发和集成工作的安全开发环境，使企业整个开发周期安全。

　（1）操作系统安全。除了进行必要的补丁和漏洞的管理和更新外，最主要的是进行防病毒管理，通过杀毒软件来防止非法的木马、恶意代码、软件对操作系统的安全影响；应用程序安全——直接关系信息系统的安全性，通过硬件、软件的安全保护来保证应用程序的安全。

　（2）密码算法技术。密码学在新版控制措施中独立成为一个领域，这就是企业必须要引起重视的理由，密码算法技术，密码算法技术应用主要是确保信息在传送的过程中不被非法的人员窃取、篡改和利用，同时接收方能够完整无误的解读发送者发送的原始信息。

　（3）安全传输技术与安全协议技术。这是针对新增供应关系领域企业需要加强的技术。为减缓供应商以及其他用户访问企业资产带来的风险，对于重要的系统和对外的访问，进行安全的传输技术，以此来保证信息在传输过程中的安全，避免被非法用户窃取、篡改和利用。

　（4）安全协议技术。主要是指身份认证功能，目前企业系统的安全保护主要都是依赖于操作系统的安全，这样入侵系统就非常容易，因此需要建立一套完善的身份认证系统，其目的是保证信息系统能确认系统访问者的真正身份，身份认证协议都是使用数据加密或数字签名等方法来确认消息发送方的身份。

　（5）信息处理设备冗余部署。这在新版控制措施第十七章信息安全方面的业务连续性管理中作为新增的控制措施，要求企业识别信息系统可用性的业务需求，如果现有系统框架不能保证可用性，应该考虑冗余组建或架构。在适当情况下，对冗余信息系统进行测试，保证在发生故障时可以从一个组件顺利切换到另外一个组件。

　　4、结束语

　 信息安全管理体系的建设改进工作是持续进行的，是会随着公司业务的发展、技术的更新、以及新标准的要求等不断变化的。它需要采用科学的方法来保证体系的持续稳定运行，从而使信息安全管理体系化、常态化的保持下去。而新版ISO27000在信息安全体系的工作上，使各行各业都有了新的指导。本文主要针对软件行业做出一定解读。总体来讲，我们需要对己经建立的信息安全管理体系进行监督、完善、优化，这实际上还是要求企业贯彻执行PDCA模型，无论从管理还是具体操作上不断进行PDCA循环，才能使得企业信息安全管理体系不断改进和优化。