基于ISO27001的北京XX企业信息安全管理体系的建立与实施

摘要

随着互联网技术发展风起云涌，依托于信息技术的国民经济正方兴未艾，依赖于互联网经济的中小企业也如雨后春笋般蓬勃发展。信息已成为了当今社会主流的发展资源，信息安全变成了企业赖以运行的基础保障之一。如今，在这个信息传播高度发达的时代，对于一个企业来说，信息，尤其是敏感信息很大程度上决定了企业的兴衰甚至是生死存亡，它已悄然地变为了一项企业的重要资产。数据是现代企业关键业务发展的支撑和基础，不仅包括企业财务数据、计算机产生的数据，还包括企业文化、品牌、知识产权、雇员信息、顾客信息等，像其它重要的商业资产那样，信息资产具有重要的价值，因此需要进行妥善管理和保护。
　　本文描述了北京XX企业信息安全管理体系的规划和实施过程。运用“PDCA”过程方法论，基于ISO/IEC270011国际标准，建立了适合公司发展战略的信息安全管理体系（Information Security Management System）（简称ISMS），将北京XX企业信息管理置于不断安全的良性循环中;本文对ISO/IEC27001标准、风险管理、“PDCA”过程方法论、信息安全管理体系的很多案例做了大量的研究，依据标准调研了北京XX企业的信息安全管理现状，并对差距进行有效的分析，依据企业信息资产的特点设计了定性和定量相结合的风险评估方法，设计了企业的信息安全管理体系框架，编写了可覆盖11个安全域，39个控制目标的信息安全管理的程序文件，制订了有效信息安全管理的有效策略，对公司员工进行连续的信息安全意识培训等，并在组织ISMS体系实施过程中，采用相应的技术手段来配合:购买了防火墙、UPS、交换机、域控服务器以及自主研发了NAS存储服务器等设备，使得信息资产所面临的风险降至可接受范围之内。
　　组织信息安全管理体系成功的实施运行，更好的促进企业的信息资产安全，有效地保护了信息数据的安全传输、存储、控制，建立健全公司的信息安全保障体系，使公司业务能够可持续的发展运行。企业的信息安全管理体系取得了ISO27001认证，保护了公司的竞争力、提高了公司员工的信息安全意识、维护了公司在客户心中的信誉、增强了公司发展的凝聚力。
　　本文为中小企业成功的建设和实施信息安全管理体系提供了一个典型的案例。

目录

声明

摘要

第1章 绪论

1．1 选题背景

1．1．1 全球信息安全大背景

1．1．2 中小企业信息安全背景

1．2 研究内容

1．3 研究意义

第2章 ISO 27001国际标准解析

2．1 信息安全管理体系标准

2．2 选择ISO／IEC 27001标准

第3章 北京XX企业信息安全管理现状的调研

3．1 北京XX企业基本介绍

3．2 北京XX企业信息安全管理要求

3．2．1 北京XX企业管理现状

3．2．2 信息安全问题分析

3．2．3 建立信息安全管理体系的必要性

3．3 北京XX企业建立信息安全管理体系方法论研究

3．3．1 方法论介绍

3．3．2 方法论评估

第4章 规划和建立ISMS(Plan)

4．1 规划和准备阶段

4．1．1 项目组会议及推进计划

4．1．2 培训宣传

4．2 建立ISMS方针和目标

4．2．1 信息安全管理方针

4．2．2 信息安全管理目标

4．3 编写体系文件

4．3．1 设计文件层级与结构

4．3．2 安全区域划分和管理规范

4．3．3 域用户管理规定

4．4 风险评估与处置

4．4．1 信息资产识别

4．4．2 风险评估程序

4．4．3 风险处理程序

4．4 残余风险的评价

第5章 运行管理ISMS(Do-Check-Act)

5．1 贯彻落实ISMS体系

5．1．1 关于落实ISMS体系的宣贯

5．1．2．制定信息安全策略

5．2 监视和评审ISMS体系

5．2．1 组织内部审核

5．2．2 组织管理评审和外部审核

5．3 保持和持续改进ISMS

第6章 体系建设总结

6．1 体系建设工作总结

6．2 体系建设的成功关键

6．3 结束语

参考文献

致谢