如今隨著信息化的步伐日益加速以及信息相關技術的飛猛發展，信息資源也日漸成為所有企業維持正常運轉的重要資源。信息以及載體信息系統、網絡等已經成為了企業生存和發展的重要資產。然而企業的信息安全和數據泄露仍然是企業管理者關注的主要問題之一。大部分企業基于企業實際情況，通過引入國際信息安全管理體系IS027000以及通過最佳的業務實踐，建立、實施、運行、監視、評審、保持和改進文件化的信息安全管理體系(即ISMS)，實現對信息安全的預控、在控、可控、能控。

而隨著2013年發布的ISO27000的改版，各行各業勢必會根據自身信息安全的情況對信息安全體系作出調整。本文將針對軟件行業在調整下的信息安全管理體系下，如何更好地保持和改進信息安全體系作出解讀，使企業更好地依據標準體系和方法論，制定出符合企業長久發展的信息安全管理體系。

2ISO標準

2.1ISO標準及變化

ISO/IEC27000（Information Security Management System Fundamentals And Vocabulary）是信息安全管理體系基礎和術語，ISO/IEC27000提供了ISMS標準族中所涉及的通用術語及基本原則，是ISMS標準族中最基礎的標準之一。最新版本于2013年9月25日發布。

相對于2005版，新版本對于ISMS建立的基礎進行了調整和明確，相較于2005年版本以資產和技術為主題，新版標準則把更多的目光投向組織業務關系，更多地考慮到組織自身及利益相關方的需求，這也是時代發展的整體趨勢。新版控制措施ISO27002從舊版的11個領域更新為14個領域，刪除了舊版中一些重復的和操作級的控制項。具體是舊版通信與操作管理被劃分成為兩個獨立的領域操作安全和通信安全，足以見新版對這兩個領域的重視；新增密碼學和供應關系兩個獨立領域。新版ISO27001將舊版中4.1章節即有關建立和管理ISMS的總要求獨立成出來；為了使邏輯性更加嚴謹，人力資源安全、資產管理以及訪問控制位置發生一定改變；從章節上講，由8個章節拓展到10個章節，重新構建了ISO標準PDCA的章節構架。

2.2關于PDCA模型

此處對于PDCA模型以及新版標準的劃分做一簡單說明：PDCA模式是國際認可的模型，很多著名的標準和管理體系都遵循這一模式。該模型是一個很好的周期性框架，每個階段都與其他階段相關聯。

PDCA模型分別由四部分組成：P（Plan）——建立ISMS，根據組織的整體策略和目標，確定活動的計劃，包括第四至七章（組織背景、領導力、計劃、支持）；D（Do）——實施和運作ISMS，實際地去完成計劃中的內容，包括第八章（運行）；C（Check）——監視和評審ISMS，總結實施和運作的結果，查找問題，包括第九章（績效評價）；A（Action）——保持和改進ISMS，對評審的結果做出處理，成功的經驗要進行保持和推廣，失敗的教訓要尋找原因，避免下次再出現同樣的錯誤，沒有解決的問題放到下一個PDCA循環中，包括第十章（改進）。

PDCA模型是管理學中常用的一個模型。該模型在運作過程中，按照P-D-C-A的順序依次進行，一次完整的循環可以看作是管理學上的一個管理周期，每經過一次循環，管理情況就會得到改善，同時進入更高的P-D-C-A周期循環，組織的管理體系不斷的得到提升，管理水平也不斷提高。而這四個步驟成為一個閉環，通過這個環的不斷運轉，使信息安全管理體系得到持續改進，使信息安全績效螺旋上升。

新的內容將使企業的側重點不同，從上面的論述中明顯可以看出新標準在企業建立信息安全體系之前加重了對企業內外環境信息安全的重視，在構建信息安全體系之前需要企業全方位考慮其組織環境、企業資源、管理現狀，了解其發展所面臨的機遇與風險，從而高標準、高精度、高要求來對待信息安全管理工作。

對于軟件行業來說，信息安全體系已初步建立和實施，主要是監視評審并持續改進自身信息安全體系的工作——PDCA模型的C和A。

3軟件行業信息安全現狀及新標準變化下應對策略

軟件行業是對信息安全要求高的行業，也是企業引入國際信息安全管理體系IS027000通過認證最多的行業。前面已經提到，軟件行業已經初步建立和實施自己的信息安全體系，面對新版ISO27000的要求，大刀闊斧地重新開始構建體系勢必會給企業帶來大的浪費和困擾。因此，在新的要求下如何監視并改進ISMS是軟件行業中企業面臨的最大的問題。ISO27001新標準中把舊版4.1獨立成章作為建立體系之前的組織環境的了解，將原來的領導力、可實現信息安全的計劃、資源等的支持都放入構建ISMS之前，也就是說軟件行業在監控并改進信息安全管理體系上要從這些方面完善自身。而這些方面在其信息安全管理措施上簡單歸納為兩個方面：管理和技術。企業需要通過管理和技術的雙方面進行控制和管理來改善信息安全體系。

3.1管理角度分析

從管理角度考慮，企業信息安全管理體系中所需采取的安全管理方面的措施主要包括物理安全管理、數據安全管理、人員安全管理、軟件安全管理、運行安全管理、系統安全管理、技術文檔安全管理，通過對風險的技術性控制和管理的實施、部署后，在風險控制管理中能保證防御大量存在的威脅，技術性的控制管理手段不僅包括從簡單直至復雜的各種具體的技術手段，還包括系統架構、系統培訓以及一系列的軟件、硬件的安全設備，這些措施和方式應該配套使用，從而保護關鍵數據、敏感信息及信息系統的功能。而這些也是ISO27001中第四章組織的背景、第五章領導力、第六章計劃、第七章支持對企業的具體要求。

主要管理措施可以從幾個方面出發。

（1）建立信息安全管理體系監督機制、在體系運行期間，要進行有效的檢查、監督、反饋和溝通，保證信息安全管理體系能夠按照公司制訂的方針策略，滿足公司業務的需求。

（2）根據企業自身的特點，制訂可行的獎懲制度，將信息安全的管理納入到績效考核，直接與工作和獎金掛鉤，將對違反信息安全管理體系規定進行懲罰。

（3）建立內部審核制度，各部門應按照信息安全管理體系的要求，進行自查和由負責部門進行隨時抽查，并在每年定期組織檢查，對表現好的單位給予嘉獎，同時對違反的單位進行懲罰，并進行公示;同時對信息安全審計、安全事件處理和外部組織進行反饋溝通，檢查信息安全管理體系的有效性和合理性。

（4）考慮組織和技術等的變化對信息安全管理體系的影響，應實時更新相關的規章制度，具體變化情況如：組織變化、技術變革、業務目標流程的改變、新的威脅和風險點的出現、法律法規的變化等;通過不斷的優化和改善，使信息安全管理體系能夠永遠適合企業業務的需要。

3.2技術角度分析

新版ISO270002控制措施中新增和調整了一些措施，涉及信息系統開發、信息安全事件管理、業務連續性管理等部分，這些要求對軟件行業中企業的具體實行至關重要。從技術角度考慮，軟件行業企業信息安全管理體系中所需采取的安全技術體系包括幾個方面。

3.2.1物理環境安全信息系統硬件安全

這是無論舊版控制措施還是新版都沒有絲毫改變的控制項，也是軟件行業中企業應加強管理的基礎。在公司的信息系統硬件管理上，首先對機房的硬件環境進行安全管理，包括溫度、濕度、消防、電力等安全管理，對關鍵的應用需要采取UPS供電，同時采取相應的備份，對硬件的使用率進行實時地監控，避免硬件的使用率過高造成業務持續性的影響，另外需要對硬件的物理環境進行監控，避免非法人員的進入，同時也是對管理員的日常行動進行監控，最后需要對機房人員和物品的出入進行權限的管理和等級制度。

3.2.2操作系統與應用程序安全

這是新版控制措施新增的安全開發策略和系統開發程序等對企業新的要求，保證操作系統與應用程序的安全會保護企業在系統開發和集成工作的安全開發環境，使企業整個開發周期安全。

（1）操作系統安全。除了進行必要的補丁和漏洞的管理和更新外，最主要的是進行防病毒管理，通過殺毒軟件來防止非法的木馬、惡意代碼、軟件對操作系統的安全影響；應用程序安全——直接關系信息系統的安全性，通過硬件、軟件的安全保護來保證應用程序的安全。

（2）密碼算法技術。密碼學在新版控制措施中獨立成為一個領域，這就是企業必須要引起重視的理由，密碼算法技術，密碼算法技術應用主要是確保信息在傳送的過程中不被非法的人員竊取、篡改和利用，同時接收方能夠完整無誤的解讀發送者發送的原始信息。

（3）安全傳輸技術與安全協議技術。這是針對新增供應關系領域企業需要加強的技術。為減緩供應商以及其他用戶訪問企業資產帶來的風險，對于重要的系統和對外的訪問，進行安全的傳輸技術，以此來保證信息在傳輸過程中的安全，避免被非法用戶竊取、篡改和利用。

（4）安全協議技術。主要是指身份認證功能，目前企業系統的安全保護主要都是依賴于操作系統的安全，這樣入侵系統就非常容易，因此需要建立一套完善的身份認證系統，其目的是保證信息系統能確認系統訪問者的真正身份，身份認證協議都是使用數據加密或數字簽名等方法來確認消息發送方的身份。

（5）信息處理設備冗余部署。這在新版控制措施第十七章信息安全方面的業務連續性管理中作為新增的控制措施，要求企業識別信息系統可用性的業務需求，如果現有系統框架不能保證可用性，應該考慮冗余組建或架構。在適當情況下，對冗余信息系統進行測試，保證在發生故障時可以從一個組件順利切換到另外一個組件。

4結束語

ISO27000信息安全管理體系的建設改進工作是持續進行的，是會隨著公司業務的發展、技術的更新、以及新標準的要求等不斷變化的。它需要采用科學的方法來保證體系的持續穩定運行，從而使信息安全管理體系化、常態化的保持下去。而新版ISO27000在信息安全體系的工作上，使各行各業都有了新的指導。本文主要針對軟件行業做出一定解讀。總體來講，我們需要對己經建立的信息安全管理體系進行監督、完善、優化，這實際上還是要求企業貫徹執行PDCA模型，無論從管理還是具體操作上不斷進行PDCA循環，才能使得企業信息安全管理體系不斷改進和優化。

文章標題：如何改進ISO27000對軟件行業信息安全的實施
本文網址：http://www.kartarina.com/hangye/iso/n14163.html

聲明：本網站發布的內容（圖片、視頻和文字）以用戶投稿、用戶轉載內容為主，如果涉及侵權請盡快告知，我們將會在第一時間刪除。文章觀點不代表本網站立場，如需處理請聯系客服。電話：028-86922220；郵箱：631063699@qq.com。內容未經允許不得轉載，或轉載時需注明來源： 創新互聯