（工商管理专业论文）东莞出入境检验检疫局ISO27001认证辅导项目管理研究.pdf

西南交通大学硕士研究生学位论文第1 页 摘要 信息安全在我国的i t 市场是一个快速发展的领域，它有着非常广阔的覆盖 面，包括了网络安全产品、信息安全咨询、国际信息安全标准、国家安全等级保 护等等。从2 0 0 5 年开始，i s 0 2 7 0 0 1 信息安全管理体系的咨询、建设、认证在中 国得到了极大的发展，一大批的i t 服务公司展开了相应的咨询业务。 在论证过程中，首先对信息安全管理、i s 0 2 7 0 0 1 标准进行了综述，分别阐述 了信息安全在中国的发展历程、i s 0 2 7 0 0 1 标准的历史。然后根据i b m 的方法论 介绍了i s m s 项目管理的实施思路，比如i s m s 项目管理的范围、时间、质量、 资源、费用的计划管理和执行控制管理，为项目管理在“东莞出入境检验检疫局” 的项目的具体运用提供了理论基础； 本文通过对“东莞出入境检验检疫局i s m s 咨询建设项目的研究，对该项 目的现状问题进行了剖析，指出了我们在实施该项目的项目管理上的症结所在。 针对这些问题，本文借鉴了国内外其它项目的管理经验并结合了i t 咨询类项目管 理的实际运用，从三个方面提出了第三方咨询公司对实施i s m s 项目的相关管理 对策：一是加强项目前期管理、严格组建项目团队；二是加强项目计划管理， 在项目计划阶段更多的考虑项目的实际情况；三是严格项目的实施监督与控制， 加强项目变更管理。从项目范围、时间、质量、资源、费用管理等诸多要素进 行了论述，力争清晰明了、突出重点。 文中引用了大量的第一手数据资料，对“东莞出入境检验检疫局”i s m s 咨询建设项目进行了多方面、多视角的项目管理论证，在参考国内外有关项目 管理的最新资料的同时，还翻阅了信息安全相关的诸多参考文献，结合中国的 实际情况，独立思考，形成了一套关于i s m s 咨询类项目的项目实施管理的模 式，在有限的篇幅内对项目可能出现的问题进行了重点研究，基本达到了论题 的客观要求。 西南交通大学硕士研究生学位论文第1 i 页 希望本文对国内企业，尤其是运营商、金融、政府单位、大中型企业的信息 安全管理体系建设项目能有积极的参考借鉴作用。 关键词：i s m s ；p d c a ；项目进度管理；实施方法 西南交通大学硕士研究生学位论文第1 i i 页 a b s t r a c t i n f o r m a t i o ns e c u r i t ya to u rc o u n t r y si tm a r k e ti sar a p i d l yd e v e l o p i n ga r e a ，i th a s av e r yb r o a dc o v e r a g e ，i n c l u d i n gn e t w o r ks e c u r i t yp r o d u c t s ，i n f o r m a t i o ns e c u r i t y c o n s u l t i n g ，i n t e r n a t i o n a li n f o r m a t i o ns e c u r i t ys t a n d a r d s ，p r o t e c t i o no f n a t i o n a ls e c u r i t y a n ds oo n s t a r t i n gi n2 0 0 5 ，i s 0 2 7 0 0 1f o ri n f o r m a t i o ns e c u r i t ym a n a g e m e n ts y s t e m c o n s u l t i n g ，c o n s t r u c t i o n , c e r t i f i c a t i o ni nc h i n ah a sb e e n ag r e a td e a lo fd e v e l o p m e n t ，a l a r g en u m b e ro f i ts e r v i c e sc o m p a n yl a u n c h e dt h ec o n s u l t i n gb u s i n e s s i nt h ec o u r s eo fa r g u m e n t ，f i r s to fa l l ，t h em a n a g e m e n to fi n f o r m a t i o ns e c u r i t y ， i s 0 2 7 0 01s t a n d a r d sa r er e v i e w e d ，r e s p e c t i v e l y ，o ni n f o r m a t i o ns e c u r i t y a tt h e d e v e l o p m e n to fc h i n e s e ，i s 0 2 7 0 0 1s t a n d a r d so fh i s t o r y a n da c c o r d i n gt oi b m s i n t r o d u c t i o no ft h ei s m sm e t h o d o l o g yo ft h ei m p l e m e n t a t i o no fp r o j e c tm a n a g e m e n t i d e a s ，s u c ha st h es c o p eo fi s m sp r o j e c tm a n a g e m e n t ，t i m e ，q u m i t y ，r e s o u r c e s ，c o s t so f p r o g r a mm a n a g e m e n t a n d i m p l e m e n t a t i o n o fc o n t r o l m a n a g e m e n t ，p r o j e c t m a n a g e m e n ti nt h e ”d o n g g u a ne x i ti n s p e c t i o n a n dq u a r a n t i n e ”p r o j e c ts p e c i f i c a p p l i c a t i o nt op r o v i d ea t h e o r e t i c a lf o u n d a t i o n ； b a s e do nt h e ”e x i ti n s p e c t i o na n dq u a r a n t i n ed o n g g u a n i s m sc o n s u l t i n g p r o j e c tc o n s t r u c t i o n , t h ep r o j e c ta n a l y z e dt h ei s s u eo f t h es t a t u sq u o ，p o i n t i n go u tt h a t i nt h ei m p l e m e n t a t i o no fo u rp r o j e c tm a n a g e m e n to ft h ep r o j e c to nt h ec r u xo ft h e p r o b l e m i nr e s p o n s et ot h e s eq u e s t i o n s ，t h i s a r t i c l ed r a w so no t h e rd o m e s t i ca n d i n t e r n a t i o n a le x p e r i e n c ei np r o j e c tm a n a g e m e n ta n di tc o n s u l t i n gc a t e g o r yc o m b i n e s t h ep r a c t i c a la p p l i c a t i o no fp r o j e c tm a n a g e m e n t ，f r o mt h et h r e ep r o p o s e dt h i r d - p a r t y c o n s u l t i n gf i r mf o rt h ei m p l e m e n t a t i o no fl s m sp r o j e c t r e l a t e dm a n a g e m e n tr e s p o n s e s ： t h ef i r s ti st os t r e n g t h e nt h ep r o j e c tp r e - m a n a g e m e n t ，p r o j e c tt e a ms e tu ps t r i c t ；t w o p r o j e c t si st os t r e n g t h e nm a n a g e m e n t a tt h ep r o j e c tp l a n n i n gs t a g et oc o n s i d e rm o r et h e a c t u a l s i t u a t i o no ft h ep r o j e c t ；t h i r d ，t h ei m p l e m e n t a t i o no ft h ep r o j e c t s t r i c t s u p e r v i s i o na n dc o n t r o l ，s t r e n g t h e n i n go ft h ep r o j e c tc h a n g em a n a g e m e n t f r o mt h e p r o j e c ts c o p e ，t i m i n g ，q u a l i t y ，r e s o u r c e s ，c o s tm a n a g e m e n ta n dm a n y o t h e rf a c t o r sa r e d i s c u s s e d ，a n ds t r i v et oc l a r i t ya n df o c u s n l ea r t i c l eq u o t e dm a n yf i r s t - h a n dd a t ao nt h e ”e x i ti n s p e c t i o na n dq 唧a n t i m d o n g 娜a n ”i s m sc o n s u l t i n gv a r i o u sc o n s t r u c t i o np r o j e c t s ，m a n yp r o j e c tm a l l a g e m e n t p e r s p e c t i v ea r g u e st h a ti nr e f e r e n c et ot h er e l e v a n td o m e s t i ca n di n 劬a a t l o 删p r o j e c t m a n a g 锄e n ta tt h es a m et i m e t o d a t e i n f o r m a t i o n , b u ta l s ot h r o u g han 眦b e ro t i n f o n n a t i o ns e c u r i 够r e l a t e dr e f e r e n c e s ，c o m b i n e d w i t hc h i n a sa c t u a lc o n d i t i o a s ， i n d 印e n d e n tt h i n k i n g ，r e g a r d i n gt h ef o r m a t i o no f ac o n s u l t a t i v et y p eo fi s m sp r o j e 吐 i i n d l e m e n t a t i o no ft h ep r o j e c tm a n a g e m e n tm o d e l ，i nt h el i m i t e ds p a c e 丽t h m 恤 p r o j e c tm a y f o c u so ni s s u e so fr e s e a r c h ，e s s e n t i a lt oa c h i e v et h eo b j e c t l v er e q u l r e m e n t s o f t h e t o p i c ih o p et h i sa r t i c l e o nt h ed o m e s t i ce n t e r p r i s e s ，e s p e c i a l l yo p e r a t o r s ，虹n 砌c 1 姒 s e n r i c e s ，g o v e m m e n ta g e n c i e s ，l a r g e a n dm e d i u m 。s i z e de n t e r p r i s e sm 1 n f o r m a t l o n s e 吼i r i t ym a n a g e m e n ts y s t e mf o rc o n s t r u c t i o np r o j e c t sc a nh a v ea p o s i t i v er e t e r e n c et 0 r e f e r e n c e k e vw o r d s ：i s m s ；p d c a ；p r o j e c tm a n a g e m e n t ；i m p l e m e n t a t i o n 西南交通大学曲南父迥大罕 学位论文版权使用授权书 本学位论文作者完全了解学校有关保留、使用学位论文的规定，同意学校保 留并向国家有关部门或机构送交论文的复印件和电子版，允许论文被查阅和借 阅。本人授权西南交通大学可以将本论文的全部或部分内容编入有关数据库进行 检索，可以采用影印、缩印或扫描等复印手段保存和汇编本学位论文。 本学位论文属于 1 保密口，在年解密后适用本授权书； 2 不保密使用本授权书。 v ( 请在以上方框内打“4 ) 学位论文作者签名：弓权术荔嘿 指导老师签名： 日期： 口9 t f - 务 醐7 一和 、 西南交通大学学位论文创新性声明 本人郑重声明：所呈交的学位论文，是在导师指导下独立进行研究工作所得的成 果。除文中已经注明引用的内容外，本论文不包含任何其他个人或集体已经发表或撰 写过的研究成果。对本文的研究做出贡献的个人和集体，均已在文中作了明确的说明。 本人完全意识到本声明的法律结果由本人承担。 学位论文作者 西南交通大学硕士研究生学位论文第1 页 1 1 研究背景 第1 章绪论 组织对信息安全的要求是随着组织业务对信息技术尤其是网络技术的应用 而来的。人们在解决信息安全问题以满足信息安全要求的过程中，经历了由“重技 术轻管理”到“技术和管理并重”的两个不同阶段。 在上个世纪9 0 年代，互联网的出现和迅速地被普及应用，使得网络和信息 安全问题触及到社会的每一个细胞包括国家、组织和个人，是网络和信息安全 问题突显的时期。在那个时期，解决信息安全问题的通常手段就是网络和信息安 全技术，其表现形式就是网络和信息安全产品的应用，具有代表性的信息安全 技术和产品如： 防病毒( a v ) 防火墙( f i r e w a l l ) 系统和网络技术脆弱性扫描( s c a n n e r ) 入侵检测系统( i d s ) 标识与鉴别( i & a ) 密码术( c r y p t o g r a p h y ) 其他 这些技术和产品同其他信息技术产品一样，多源于西方国家如美国。在遇到 信息安全问题时，人们往往寄希望于这些产品和技术，所以这个时期解决信息安 全问题的思路是“产品导向型”的。 信息安全技术和产品的应用，一定程度上解决了部分信息安全问题。但是人 们发现仅仅靠这些产品和技术还不够，即使采购和使用了足够先进、足够多的 信息安全产品，仍然无法避免一些信息安全事件的发生。与组织中个人有关的信 西南交通大学硕士研究生学位论文第2 页 息安全问题、信息安全成本和效益的权衡、信息安全目标、业务连续性、信息 安全相关法规符合性等问题，这些方面与信息安全的要求都密切相关，但产品和 技术是不容易解决的。 【3 0 】到了上个世纪9 0 年末，人们开始意识到管理在解决信息安全问题中 的作用。l9 9 3 年9 月，由英国贸工部( d t i ) 组织、许多企业参与编写了一 个信息安全管理的文本一“信息安全管理实用规则 ( c o d eo fp r a c t i c ef o ri n f o r m a t i o ns e c u r i t ym a n a g e m e n t ) ”。从此，i s m s 开始 萌芽并迅速发展起来，目前，在解决信息安全问题方面，i s m s 已经成为全 球企业的选择。 1 9 9 3 年到2 0 0 6 年间，i s m s 从无到有，其发展历程大致如下： 1 9 9 3 年9 月，由英国贸工部( d t i ) 组织、许多企业参与编写了一个 信息安全管理的文本一“信息安全管理实用规则”。 1 9 9 5 年2 月，b s i 将该文本转化为为英国国家标准，即b s 7 7 9 9 1 ：1 9 9 5 信息安全管理实用规则。 1 9 9 8 年2 月，b s i 又推出用于i s m s 认证的国家标准，即 b s 7 7 9 9 2 ：1 9 9 8 ，当时称为信息安全管理体系规范。 1 9 9 9 年b s i 将上述两部分标准修订，正式推出1 9 9 9 版本。 2 0 0 0 年1 2 月，b s 7 7 9 9 1 ：1 9 9 9 被采纳成为国际标准，即 i s o i e c l 7 7 9 9 ：2 0 0 0 。而b s 7 7 9 9 2 没有能购成为国际标准。 2 0 0 2 年，b s i 又将b s 7 7 9 9 2 修订，使其与i s 0 9 0 0 1 ：2 0 0 0 保持高度一 致，发布了b s 7 7 9 9 2 ：2 0 0 2 。 2 0 0 5 年6 月1 5 日，i s o i e c 发布i s o i e c l 7 7 9 9 ：2 0 0 0 的修订版本， 即i s o i e c17 7 9 9 ：2 0 0 5 。 2 0 0 5 年1 0 月1 5 日，i s o i e c 发布i s m s 要求标准，即 i s o i e c 2 7 0 0 1 ：2 0 0 5 ，其蓝本就是b s 7 7 9 9 2 ：2 0 0 2 。 西南交通大学硕士研究生学位论文第3 页 我国在信息安全上遇到的问题与西方国家类似。在解决信息安全的历程上也 大致走过了上述两个不同阶段。进入2 1 世纪以来，我国各组织开始认识到信息 安全管理在解决信息安全问题中的作用。国家在相关政策文件中也明确提出了信 息安全保障工作的主要原则：“立足国情，以我为主，坚持管理与技术并重”。国 内许多企业对当时的b s 7 7 9 9 表示了浓厚的兴趣和明显的需求，2 0 0 0 年，先后有 2 家国内企业通过了英国国家标准b s 7 7 9 9 ：1 9 9 9 的认证。 作为一名专业的信息安全顾问，我于2 0 0 2 年开始进入信息安全行业，从最 初的网络安全产品工程师到如今的i t 咨询顾问，经历了信息安全产业在中国的起 步、发展与成熟阶段，2 0 0 6 年加入i b m 后，适逢i s 0 2 7 0 0 1 认证体系标准在中国 得到蓬勃发展，i b m 在该年扩充产品线，将i s m s 体系的咨询建设、辅导认证纳 入其业务范围，结合i b m 先进的项目管理经验成功帮助企业实施了多个i s 0 2 7 0 0 1 认证咨询项目。本人于2 0 0 7 年参与了深圳地铁i s 0 2 7 0 0 1 体系建设与集成项目、 2 0 0 8 年参与了东莞出入境检验检疫局i s 0 2 7 0 0 1 认证辅导项目( 中国第一个通过 i s 0 2 7 0 0 1 认证的政府单位) ，并在这两个项目中担任项目经理与主要咨询顾问的 角色。在该两个项目的实施过程中，项目各有各的特点，但是有一个共同点就是 如果项目的质量控制、进度控制做的好，那么这个项目实施就比较顺利。实施结 束后，企业感觉到的效果就比较明显。反之亦然。 有感于此，我意识到我非常有义务和责任把我在实施项目中学习到的关于项 目管理的知识和自身的体会写出来和理论界的老师、同行业的朋友一同交流，共 同进步。我得这一想法的到了我的导师王明亮教授的大力支持。由此，开始了本 文的写作过程。 1 2 写作思路 本文主要采用了“是什么”、“为什么”、“怎么样 三步骤写作方式，文章理 论结合实际首先对研究的对象“i s m s 建设的项目管理 中涉及的基本概念进行 西南交通大学硕士研究生学位论文第4 页 了介绍，解答“是什么”的问题，使读者明确研究对象的概念及基本特点。接着， 文章阐述“为什么和“怎么样 这两大问题。介绍了i s m s 在我国的兴起背景 和应用现状，并且分析了实施i s m s 项目的特点以及项目进度管理、项目质量管 理的几个因素。 针对上述分析的结果，文章提出了相应的解决方案，也就是解答了“怎么样” 的问题。最后，根据全文的分析、结合我自己的亲身体会、使用真实的案例( 东 莞出入境检验检疫局i s m s 体系建设项目) 对上述理论进行了分析和论证，从而 得出确实可行的结论。 西南交通大学硕士研究生学位论文第5 页 第2 章基本理论及相关知识 2 1i s m s 的相关概念及项目管理 2 1 1i s m s 的产生及发展过程 信息安全管理体系( i n f o r m a t i o ns e c u r i t ym a n a g e m e n ts y s t e m ，简称i s m s ) 是1 9 9 8 年前后从英国发展起来的信息安全领域中的一个新概念。伴随着近年来 国际i s m s 标准的制修订，i s m s 迅速被全球接受和认可，成为世界各国各种类型、 各种规模的组织解决信息安全问题的一个有效的方法。 伴随着i s m s 标准的不断发展，在英国的推动下，i s m s 认证认可也呈蓬勃发 展趋。自2 0 0 2 年以来，全球i s m s 认证证书每年都在成倍增长。截至2 0 0 6 年6 月4 日，全球通过i s m s 认证组织已达2 6 5 8 个，其中包括中国的2 7 个。 i s o i e cj t c l s c 2 7 w g l ( 国际标准化组织国际电工委员会信息技术委员会 安全技术分委员会第一工作组) 是制定和修订i s m s 标准的国际组织，我国是该 组织的成员国。到2 0 0 6 年5 月，该组织已经正式发布的i s m s 标准主要包括2 个： i s o h e c 2 7 0 0 1 ：2 0 0 5 信息安全管理体系要求 i s o i e c l 7 7 9 9 ：2 0 0 5 信息安全管理实用规则 根据该组织的最新i s m s 路线图计划，2 0 0 7 年4 月将目前的 i s o i e c l 7 7 9 9 ：2 0 0 5 的标准号修改为i s o i e c 2 7 0 0 2 ，同时i s m s 的系列标准也在 规划和制定中，目前正在制定过程中的i s m s 标准包括： i s o i e c 2 7 0 0 0 信息安全管理体系基础和术语 i s o i e c 2 7 0 0 3 信息安全管理体系实施指南 i s o i e c 2 7 0 0 4 信息安全管理体系测量 i s o i e c 2 7 0 0 5 信息安全风险评估与管理 另夕h 还有预留了i s o i e c 2 7 0 0 6 、i s o i e c 2 7 0 0 7 、i s o i e c 2 7 0 0 8 、i s o i e c 2 7 0 0 9 西南交通大学硕士研究生学位论文第6 页 等4 个标准号，具体内容还在讨论中。 【3 0 】截至2 0 0 6 年6 月4 日，全球通过i s m s 认证的组织的数量已达2 6 5 8 家， 详细情况如下表2 1 所示： 表2 - 1i s 0 2 7 0 0 1 认证企业统计表 j a p a n 1 6 0 2 b r a z i l9s l o v e n i a2 u k2 4 4 s w e d e n8s o u t ha f r i c a2 i n d i a1 8 6 s p a i n 7a r m e n i a1 t a i w a n9 2 t u r k e y 7b a h r a i nl g e r m a n y 5 7i c e l a n d6c h i l e1 i t a l y 4 2g r e e c e5 e g y p t l u s a3 9k u w a i t4l e b a n o nl k o r e a3 8m e x i c o4l i t h u a n i a1 h u n g a r y 3 0p h i1i p p i n e s4 l u x e m b u r g 1 c h i n 摩貂s a u d ia r a b i a 4m a c e d o n i al n e t h e r l a n d s2 6 a r g e n ti n a 3m o r o c c ol h o n gk o n g 2 2c a n a d a3n e wz e a l a n dl a u s t r a li a 2 0f r a n c e3o m a n1 s i n g a p o r e 2 0i s l eo fm a n3p a k i s t a n 1 f i n l a n d 1 5m a c a u3p e r ul r u s s j a n n o r w a y 1 43 q a t a r 1 f e d e r a t i o n p o l a n d1 4u a e3r o m a n i a1 s e r b i aa n d s w i tz e r l a n d 1 3 b e l g i u m 21 m o n t e n e g r o c z e c hr e p u b li c1 2c o l o m b i a2 t h a il a n dl i r e l a n d1 lc r o a t i a2v i e t n a m1 m a l a y s i a 1 0 d e n m a r k2r e l a t i v et o t a l2 6 5 8 s l o v a k a u s t r i a92a b s o l u t et o t a l 2 6 4 5 r e p u b li c 西南交通大学硕士研究生学位论文第7 页 2 1 2 企业对i s m s 的建设需求 信息作为组织的重要资产，需要得到妥善保护。但随着信息技术的高速发展， 特别是i n t e m e t 的问世及网上交易的启用，许多信息安全的问题也纷纷出现：系 统瘫痪、黑客入侵、病毒感染、网页改写、客户资料的流失及公司内部资料的泄 露等等。这些已给组织的经营管理、生存甚至国家安全都带来严重的影响。安全 问题所带来的损失远大于交易的帐面损失，它可分为三类，包括直接损失、间接 损失和法律损失： 直接损失：丢失订单，减少直接收入，损失生产率； 间接损失：恢复成本，竞争力受损，品牌、声誉受损，负面的公众影响， 失去未来的业务机会，影响股票市值或政治声誉； 法律损失：法律、法规的制裁，带来相关联的诉讼或追索等。 所以，在享用现代信息系统带来的快捷、方便的同时，如何充分防范信息的 损坏和泄露，已成为当前企业迫切需要解决的问题。 俗话说“三分技术七分管理 。目前组织普遍采用现代通信、计算机、网络 技术来构建组织的信息系统。但大多数组织的最高管理层对信息资产所面临的威 胁的严重性认识不足，缺乏明确的信息安全方针、完整的信息安全管理制度、相 应的管理措施不到位，如系统的运行、维护、开发等岗位不清，职责不分，存在 一人身兼数职的现象。这些都是造成信息安全事件的重要原因。缺乏系统的管理 思想也是一个重要的问题。所以，我们需要一个系统的、整体规划的信息安全管 理体系，从预防控制的角度出发，保障组织的信息系统与业务之安全与正常运作。 企业获得i s m s 认证将获得以下好处： 符合法律法规要求：证书的获得，可以向权威机构表明，组织遵守了所 有适用的法律法规。从而保护企业和相关方的信息系统安全、知识产权、 商业秘密等。 维护企业的声誉、品牌和客户信任：证书的获得，可以向合作伙伴、股 东和客户表明组织为保护信息而付出的努力，令其对组织的信心将得到 西南交通大学硕士研究生学位论文第8 页 加强。同样的，证书的获得，有助于确定组织在同行业内的竞争优势， 提升其市场地位。事实上，现在很多国际性的投标项目已经开始要求 i s 0 2 7 0 0 l 的符合性了。 履行信息安全管理责任：证书的获得，本身就能证明组织在各个层面的 安全保护上都付出了卓有成效的努力，表明管理层履行了相关责任。 增强员工的意识、责任感和相关技能：证书的获得，可以强化员工的信息 安全意识，规范组织信息安全行为，减少人为原因造成的不必要的损失。 保持业务持续发展和竞争优势：全面的信息安全管理体系的建立，意味 着组织核心业务所赖以持续的各项信息资产得到了妥善保护，并且建立 有效的业务持续性计划框架，提升了组织的核心竞争力。 实现风险管理：有助于更好地了解信息系统，并找到存在的问题以及保 护的办法，保证组织自身的信息资产能够在一个合理而完整的框架下得 到妥善保护，确保信息环境有序而稳定地运作。 减少损失，降低成本：i s m s 的实施，能降低因为潜在安全事件发生而给 组织带来的损失，在信息系统受到侵袭时，能确保业务持续开展并将损 失降到最低程度。 i s m s 认证的适用范围： 信息安全对每个企业或组织来说都是需要的，所以信息安全管理体系认证具有 普遍的适用性，不受地域、产业类别和公司规模限制。从目前的获得认证的企业f 青况 看，较多的是涉及电信、保险、银行、数据处理中心、i c 制造和软件外包等行业。 2 1 3i s m s 主要内容 信息安全管理体系标准主要有b s 7 7 9 9 ( i s 0 1 7 7 9 9 ，i s 0 2 7 0 0 1 ) 、i s o i e c 1 3 3 3 5 、a s n z s4 3 6 0 、g a o a d m i9 9 1 3 9 、n i s p 8 0 0 3 0 等。其中i s 0 2 7 0 0 1 是目前使用最广的信息安全管理事实上的标准。 西南交通大学硕士研究生学位论文第9 页 在信息安全管理体系的建设过程，信息资产是核心，而人有是最活跃的 信息资产。随着安全事件的不断增多，如何对安全事件进行相应和处理越来 越被人们所关注。i s 0 2 7 0 0 1 吸收了b s 7 7 9 9 2 ：2 0 0 2 的优点并进行了改进。 i s 0 2 7 0 0 1 是以“风险评估为基础的“信息安全管理体系，是一个“滴水不漏 “的信息安全管理体系。它包含1 1 个域、3 9 个控制目标、1 3 3 个安全控制措 施。【1 5 1 6 】 j? 一、酸劣i f ( s e c 咐哆p o l i c y ) = 嚏i t 雕寝， = 、宣垒组媛s e c u r i t y o r g a n i z a l i o a 2 1 三、羲产努樊肇睫翻( a s s e tc l a s s 厕c a t i o na n dc o n t r o l l 】【2 , , b - ) 霸、人员安垒五、物理与环骥囊垒 穴、遭信与远行雠 l p e ls o , l i l l e il p l m ：v s i ca i i d i c o l i l l l l u l i l p o m “m 几、蓉缝拜蹙与缝护? s e c m 哆) e t w i l o l i l n e l i ta n do p e la r i a n 驰e i l ld e v e l o p 3 国s e c u l a r 4 2 1 3 黼a i i t i g e m e l l l t l1 0 。3 2 1a n d n i a i r l l e n i l i i c e l 4 6 1 6 1 七访阁整翻( a c c e s sc o n t r o f f 2 5 1 ，k 安全搴栉慧j 酲 c o m l ) l i m l c e ) ( 2 妫 十、韭棼赫续矬管露 b u s i l l e s $ c o n t m u i t ym a n a g e m e n t 址盘 十- ，蟹台性l c o n l b i l a n c 8 3 1 0 1 ；z ：雕寝：伸- n 一m ：执行目糕羽毂爨i t ：控键黼教蜀 l j： 图2 1i s 0 2 7 0 0 1 关系图 2 2i s m s 项目管理概念 企业从启动i s m s 体系建设后，需要经过整体规划、风险评估、风险处理、文件编写、 意识培训、内部审核，六个阶段的建设方能在体系范围内初步形成i s m s 体系。 2 2 1企业如何建立i s m s 体系 2 2 1 1整体规划 在正式启动i s m s 实施项目之前，组织必须明确自己的目标和范围，并且制 定整体蓝图，以便让之后每个阶段和每个具体的实施活动都能够朝着正确的方向 西南交通大学硕士研究生学位论文第1 0 页 前进，并且能够随时检验阶段及最终成果是否符合预期。 明确了信息安全管理体系的建设蓝图，接下来就是将p r o c 方法落实为具体 的实施计划了，整个信息安全管理体系的实施主体流程应该如下图2 2 所示。 掘安全需求 理评估、综合性评估 策提供依据 需要信息系统支持的部门和人员 定控制措施，制定风险处理计划，信息安全组织建设 估结果，制定文件编写、技术和b c p 计划，落实责任 估后，启动风险处理之前应该做好充分的计划和准备 题得以解决，信息安全事务责任到人 入到信息安全管理范畴的单位和人员 息安全管理所依据的策略、程序、工作规范和记录等 件体系，牵涉到制定、修改、批准、执行过程 理阶段重要的一项工作，1 2 个月 信息安全工作“有法可依”，让信息安全真正可管理 入到信息安全管理范畴的单位和人员 工安全意识，提升人员安全技能，切实推行体系 育、技术培训、管理培训等，落实策略的理解和执行 颁布之后，应该制定细致的推广培训计划 人都能理解并且有能力去执行安全策略 入到信息安全管理范畴的单位和人员 运行 计划和流程，实施内审 诊自愈功能 范畴的单位和人员 图2 2 信息安全管理体系实施流程 2 2 1 2 风险评估 风险评估是实施信息安全管理体系( i s m s ) 的重要的先决条件，是i s m s 建 西南交通大学硕士研究生学位论文第1 1 页 设准备阶段最关键的第1 步。基于风险评估，组织可以对当前的信息安全现状有 一个系统全面的分析，找出真正的不足，以此来确定自己在信息安全管理建设方 面的需求。 在实施风险评估活动时，组织应该在确定范围内组建风险评估小组，并且由 安全项目主管担任组长，负责协调风险评估事宜。 当然，正因为风险评估是一个围绕组织业务以及支持业务的信息系统而开展 的一项广泛的活动，所以，评估期间，并不仅仅是i t 部门参与，还要求有其他 部门和人员的参与，包括h r 、相关业务部分、企业高层代表等，这和传统的只限 于i t 范围的网络安全扫描及评估是完全不同的( 但在全面的风险评估过程中， 包括必要的技术弱点评估内容) 。 具体的风险评估流程如下图2 3 所示。 图2 3 风险评估流程图 西南交通大学硕士研究生学位论文第1 2 页 2 2 1 3 风险处理 风险评估之后，明确了组织自身真正的安全需求，在制定并落实各项风险处 理计划时，首先要考虑的，是在整个公司范围内建立有效的安全管理和执行组织， 落实人员的责任( 这是p r o c 中风险处理环节的重要内容) 。 总体上来说，最终组织建立的信息安全管理组织应该设置以下关键角色： 信息安全委员会：应该建立全公司统一的信息安全委员会( 决策机构) ， 负责评审信息安全方针和信息安全计划，确保对安全措施的选择有一个 明确的指导方向并且得到高管的实际支持，同时负责协调信息安全控制 措施的实施情况，对重大变更进行决策，审查信息安全事故。信息安全 委员会的成员应该包括：高管代表( 通常是c e o 或者c i o ) 、信息安全主 管、各单位代表( 包括业务部门和i t 部门) 。 信息安全主管：由组织的最高管理者委任，是组织高管在信息安全管理 方面的代表( 执行人) 。信息安全主管负责组织的信息安全方针的贯彻与 落实，发生安全事故时，还需要做现场的指导和统筹。 信息安全委员：组织各个关键部门( 分支) 应该有代表作为信息安全委 员会的成员，除了承担信息安全委员会共同职责外，还应该负责各自部 门( 分支) 内部的安全控制活动。 内审员：信息安全主管应该委派i s m s 内审人员，组建内审小组，按照既 定的内审流程，对已实施的i s m s 进行符合性审查，以便及时发现问题， 予以纠正。内审员必须由经过适当的审核培训的、且有一定经验和技能 的员工担任，内审工作应该保持独立性，最好是专人负责内审事务。 这些关键角色的设定，如下图2 - 4 所示。 西南交通大学硕士研究生学位论文，喜1 3 页 i 。一 ；地 ：区 i _ 图2 _ 4 信息安全管理委员会组织架构图 除了信息安全组织建设，组织还应该根据风险评估的结果运用于制定并实施 一系列风险处理计划。掌握了真实需求( 不仅仅是风险评估，可能还有法律法规、 行业规范等方面明确的需求) 之后，组织需要为实旌整体的信息安全管理体系建 设制定各类计划和方案。 计划可以是分阶段分层次的，通常分为短期、中期和长期计划( 从阶段来讲) ， 或者是事务实施计划、策略计划和战略计划( 从层次来讲) 。我们认为，组织制 定信息安全计划应该优先考虑与关键业务最紧密相关的信息系统环境。至于先做 什么后做什么，只有根据风险评估得出风险等级之后，由决策者最终确定。 2 2 1 4 文件编写 有效的信息安全管理体系应该是一个文件化的体系，这里讲的文件，并非简 单的一个w o r d 文件或者纸质文件，它体现了信息安全管理有法可依、有据可查 的状态。信息安全管理体系文件，是指导并且追踪所有信息安全管理事务所必须 的工具。所以，风险评估之后，解决方案中包含的很重要的一块内容，就是制定 并完善有针对性的文件体系。 在文档编写方面，组织首先应该组建文档编写小组，这个小组可以是两个层 次的，一个是负责制定全公司范围的安全策略( 方针) 文件，另一个是负责制定 西南交通大学硕士研究生学位论文第1 4 页 具体实施的策略文件。 从层次上来看，组织要建立的完整的文档体系，应该由四级文件构成： 1 ) 一级文件：全公司范围内的信息安全方针，需要从组织整体角度考虑来 制定，它应该能够反映组织最高管理者对信息安全工作下达的旨意，应 该能为所有下级文件的编写指引方向。包含信息安全方针的信息安全管 理手册，由信息安全委员会负责制定、修改和审批，是对信息安全管理 体系框架的整体描述，以此表明确定范围内i s m s 是按照既定目标要求建 立并运行的。信息安全手册应该是每个员工都持有的，是员工在信息安 全方面的行动纲领。适用性声明( s o a ) 则是对与b s 7 7 9 9 - 1 控制相符合 的已经采取的风险控制措施的简要声明。 信息安全方针手册 适用性声明( s o a ) 2 ) 二级文件：各类程序文件。这些程序文件应该是针对信息安全某方面工 作的，是对信息安全方针内容的进一步落实，应该是不同部门都能适用 的，至少包括( 可能不限于此) ： 风险管理与风险评估程序 内部审核程序 管理评审程序 文件记录控制管理程序 纠正预防控制管理程序 信息安全事件管理程序 信息设备管理程序 信息安全组织建设规定 第三方和外包管理规定 信息资产分类管理规定 西南交通大学硕士研究生学位论文 一 第1 5 页 工作环境安全管理规定 介质处理与安全规定 系统开发与维护程序 业务连续性管理程序 法律符合性管理规定 3 ) 三级文件：具体的作业指导书。这些文件牵涉到与具体部门特定工作或 系统相关的作业规范( 操作步骤和方法) ，可以由各个单位自行制定，是 对各个程序文件所规定的领域内工作的细化描述。 4 ) 四级文件：各种记录文件，包括实施各项流程的记录和表格，应该成为 i s m s 得以持续运行的有力证据，由各个相关部门自行维护。 2 2 1 5 意识培训 借助有效培训，一方面可以向一般员工宣传安全策略、提升安全意识；另一 方面，也可以向特定人员传递专业技能( 例如风险评估方法、策略制定方法、安 全操作技术等) ；此外，面向管理人员的培训，能够提升组织整体的信息安全管 理水平；当然，还有针对内审人员的专门培训( 如i s 0 2 7 0 0 1 内审员培训) 。所有 这些培训，如果成功实施，定能极大促进信息安全管理体系建设项目的顺利开展。 具体的培训内容包括： 信息安全管理基础及意识培训：在i s m s 准备阶段，应向组织提供针对i s m s 实施及运行相关的一般人员的信息安全管理基础和意识培训，目的在于 让所有这些相关人员都了解信息安全管理基本要领，