安全管理的理解，信息安全管理：全球最佳实务与实施指南

大家好，欢迎来到IT知识分享网。

当前我国IT产业和信息化应用已经步入了深化、整合、转型和创新的关键时期，信息技术与信息系统对企业组织形态、治理结构、管理机制、运作流程和商业模式的影响日益深化；政府机构、企业组织对信息技术和信息系统的依赖性在日益加强；信息系统的安全、管理、风险与控制日益成为突出的问题。目前业界普遍认为，我国的信息安全防护能力只处于发展的初级阶段，许多计算机基本上处于不设防状态。无论是防范意识、管理措施、核心技术，还是安全产品，都离信息安全的实际需要存在很大的差距，每年各种重要数据和文件的滥用、泄露、丢失、被盗，给国家、企业和个人造成的损失数以亿计，这还不包括那些还没有暴露出来的深层次的问题。计算机安全问题解决不好，不仅会造成巨大的经济损失，甚至会危及国家的安全和社会的稳定。

长期以来由于媒体报道的侧重点以及生产商的广告宣传等多种因素的影响，人们对信息安全的认识存在偏差，有相当一部分人认为黑客和病毒就已经涵盖了信息安全的一切威胁，似乎信息安全工作就是完全在与黑客与病毒打交道，全面系统的安全解决方案就是部署反病毒软件、防火墙、入侵检测系统。这种片面的看法对一个组织实施有效的信息安全保护带来了不良影响。

信息安全的建设实际上是一个系统工程，它要求对信息系统的各个环节进行统一的综合考虑、规划和构架，并要时时兼顾组织内不断发生的变化，任何环节上的安全缺陷都会对系统构成威胁。如果组织凭着一时的需要，想当然去制定一些控制措施和引入某些技术产品，都难免存在挂一漏万、顾此失彼的问题，使得信息安全这只”木桶”出现若干”短木块”，从而无法提高安全水平。 正确的做法是遵循国内外相关信息安全标准与最佳实践过程，考虑到组织对信息安全的各个层面的实际需求，在风险分析的基础上引入恰当控制，建立合理安全管理体系，从而保证组织赖以生存的信息资产的机密性、完整性和可用性：另一方面，这个安全体系还应当随着组织环境的变化、业务发展和信息技术提高而不断改进，不能一劳永逸，一成不变。因此，实现信息安全是一个需要完整的体系宋保证的持续过程。

就是这样一个可以指导组织安全实践的信息安全管理标准，它从管理、技术、人员、过程的角度来定义、建立、实施信息安全管理体系，保障组织的信息安全”滴水不漏”，确保组织业务的持续运营，维护企业的竞争优势。遵循这个标准的信息安全管理可以给组织带来两方面效益：一是减少因信息安全事故的经济损失而产生的经济效益；二是由于增加声誉、提升品牌价值而增加的非经济效益。第一部分己成为国际标准ISO／IEC 17799，在全球范围内得到广泛的认可，被许多国家转化为国家标准，我国的许多政府机关、企事业单位也开始认识到信息安全管理的重要，准备逐步引入，以建立适用自身需要的信息安全管理体系。

本书就是为需要了解知识的专业人员及准备引入的组织而编写。本书着重介绍信息安全管理的理论、方法及有效的实施工具，作者根据信息安全管理标准，并结合长期的企业信息化建设和信息安全管理实践经验，对的理论进行了详细的描述，对体系的实施方法作了深入浅出的说明。

作者本着实用性与易用性的原则来编写此书。一方面为便于读者的理解，文中给出了大量的案例；另一方面，由于标准所要求的信息安全管理体系是一个基于风险评估的、严格的文件化的体系，组织在建立体系的过程中，有大量的文件、数据及记录要建立和处理，手工作业方式已很难完成这项工作和有效管理信息安全管理数据安全管理的理解，我们根据本书的理论、方法同步推出实施软件工具，旨在帮助企业更有效理解、实施信息安全管理体系，并促进企业达至认证要求。

本书主要分为11章，第1章”信息安全管理概论”主要介绍了信息安全管理的概念，内容、历史及在国内外的发展情况。第2章”信息安全管理理论与控制规范”对的主要理论体系、PDCA的实施、实践规范与控制规范作了详细描述。第3章”信息安全管理体系的策划与准备”描述了建立信息安全管理体系的前期策划与准备工作。第4章”信息安全管理体系的建立”详细阐述了组织建立信息安全管理体系目标、方法与过程。第5章”信息安全管理体系的认证”详细介绍了体系认证的全过程及要注意的重点环节。第6章”信息安全风险评估详述”详细阐述了风险评估与风险管理的方法。第7章”信息安全管理控制详述”详细描述了为有效管理组织信息安全风险，选择控制的方法与过程。第8章”如何制定信息安全政策与程序”提供了具体的方法与过程。第9章”实施工具”介绍实施辅助软件工具的功能及使用方法。第10章”BS 7799实施案例”从客户、咨询公司、厂商三个方面重点介绍了四个典型案例供大家参考。第11章”整合标准，构建善治的IT治理机制”介绍了与相关的一些管理标准及如何整合相关标准去建设善治的IT治理机制。附录列出了的有关网络资源、与信息安全有关的法律法规性等供读者参考。

在本书的编撰过程中，孙强、陈伟和王东红主持了全书的架构与设计，审定了章节要目。引论和跋由孙强撰写，初稿第1、2章由孙强、孟秀艳撰写，第3、4章由陈伟、郝晓玲撰写，第5、6章由陈伟、王东红撰写，第7、8、9章由陈伟撰写，第10章案例由孙强、陈伟修订整理，第11章由孙强、李长征撰写。全书由孙强、陈伟、王东红总纂定稿。非常值得一提的是，挪威船级社的孟庆麟先生和郭晓英女士自始至终给予了我们很多的宝贵意见和建议。

在本书的创作与出版过程中，我们要感谢许多单位和个人，如中国电子信息产业发展研究院副院长罗文先生，中国信息化推进联盟秘书长刘献军女士，赛迪顾问的郝亚斌先生，挪威船级社的孟庆麟先生、郭晓英女士，CA公司的尹婉智、谢春颖女士，天威诚信的朱晓松、李延昭先生及王卫国女士，加安信息技术有限公司的姚兴国、麦志辉先生，中联绿盟信息技术有限公司的李晴山、王红阳先生等。此外安全管理的理解，还要特别感谢我国著名电子政务专家陈拂晓先生，是他的无私奉献精神在激励和感召着我们。最后，由衷地向一直默默支持着我们的家人表达永远的爱与感激之情。正是因为有众多亲人和朋友们无私的奉献，此书才得以和读者见面。

由于信息技术突飞猛进，信息安全管理所涉及的体系范围非常广泛，书中有一些没有进行深入讨论和清晰阐述的问题，读者朋友可以通过访问中国IT治理论坛(www．itgov．org．cn)，查看最新的资料，其中包括国内外众多知名公司或协会组织专为本书提供的丰富的软件和案例等，我们也希望能够通过以上的互动网络平台，与更多读者朋友一起交流探讨，推动中国信息化的可持续发展。对本书内容有任何建议或意见，请填写读者调查表(可从www．itgov．org．cn上下载)或发电子邮件至：(7799@itgov．org．cn)，您将成为中国汀治理论坛高级个人会员，并有机会获赠全套丛书。