1背景介紹

（1）什么是ISO27001

與ISO9000標(biāo)準(zhǔn)類似，ISO27001：2005也是一種國(guó)際標(biāo)準(zhǔn)。ISO27001主要關(guān)注企業(yè)和組織的信息安全，它提供了一套綜合的、由信息安全最佳慣例組成的實(shí)施規(guī)則，其目的是作為確定工商業(yè)信息系統(tǒng)在大多數(shù)情況所需控制范圍的參考基準(zhǔn)，并且適用于大、中、小組織。

（2）ISMS和ISO27001關(guān)系

ISMS（Information Security Management System）是信息安全管理系統(tǒng)英文縮寫，是依據(jù)ISO27001所規(guī)定11個(gè)控制域、133個(gè)控制點(diǎn)所制定的信息安全管理文檔體系。

ISMS文檔體系可以根據(jù)不同企業(yè)、組織的業(yè)務(wù)模式和IT基礎(chǔ)不同而有所不同。

（3）運(yùn)營(yíng)商為什么要進(jìn)行ISMS體系建設(shè)

開展ISMS體系建設(shè)，可以在以下幾個(gè)方面提升運(yùn)營(yíng)商的核心競(jìng)爭(zhēng)力：

a)實(shí)現(xiàn)IT系統(tǒng)運(yùn)維流程化、制度化、標(biāo)準(zhǔn)化；

b)有效開展IT系統(tǒng)安全運(yùn)維KPI考核，提升IT系統(tǒng)安全運(yùn)維水平；

c)減少可能潛在的風(fēng)險(xiǎn)隱患，減少信息系統(tǒng)故障、人員流失帶來(lái)的經(jīng)濟(jì)損失；

d)強(qiáng)化員工的信息安全意識(shí)，規(guī)范組織信息安全行為；

e)在信息系統(tǒng)受到侵襲時(shí)，確保業(yè)務(wù)持續(xù)開展并將損失降到最低程度；

f)保護(hù)企業(yè)的知識(shí)產(chǎn)權(quán)、商標(biāo)、競(jìng)爭(zhēng)優(yōu)勢(shì)；

g)維護(hù)企業(yè)的聲譽(yù)、品牌和客戶信任。

2 建設(shè)內(nèi)容

2.1 ISMS文檔體系

ISMS安全體系建設(shè)嚴(yán)格按照ISO27001：2005標(biāo)準(zhǔn)所規(guī)定的11個(gè)安全域的控制項(xiàng)和控制點(diǎn)進(jìn)行。其中11個(gè)安全域包括：安全策略、信息安全組織、資產(chǎn)管理、人員安全、物理和環(huán)境安全、通信和操作管理、訪問控制、信息獲取開發(fā)和維護(hù)、信息安全事故管理、業(yè)務(wù)可持續(xù)性、符合性。

ISMS安全體系文檔總共由三個(gè)層次構(gòu)成：

（1）一級(jí)文件：信息安全管理手冊(cè)

依據(jù)ISO/IEC27001:2005《信息安全管理體系要求》，結(jié)合企業(yè)自身的具體情況編寫而成。在信息安全管理手冊(cè)中將闡明組織的信息安全目標(biāo)和方針，對(duì)信息安全管理體系做出概括性敘述，是組織對(duì)外實(shí)施信息安全保證、對(duì)內(nèi)進(jìn)行信息安全管理的綱領(lǐng)性文件。信息安全管理手冊(cè)所采用的條款與ISO/IEC27001:2005《信息安全管理體系要求》中的條款編寫一致，并結(jié)合組織的特點(diǎn)編寫了程序文件和記錄文件，形成了信息安全管理標(biāo)準(zhǔn)，使信息安全管理體系有章可循、有法可依。

（2）二級(jí)文件：程序及策略文件

程序及策略文件是針對(duì)信息安全各方面工作的，是對(duì)信息安全方針和策略內(nèi)容的進(jìn)一步落實(shí)，描述了某項(xiàng)信息安全任務(wù)具體的操作步驟和方法，是對(duì)標(biāo)準(zhǔn)中各個(gè)安全領(lǐng)域內(nèi)工作的細(xì)化。主要包括資產(chǎn)管理、人員安全、信息設(shè)備管理程序、內(nèi)部審核程序、外包服務(wù)管理程序、業(yè)務(wù)持續(xù)性、符合性等文件。

（3）三級(jí)文件：記錄文件

記錄文件是實(shí)施各項(xiàng)信息安全程序的記錄成果，通常表現(xiàn)為記錄表格，是ISMS得以持續(xù)運(yùn)行的有力證據(jù)，由各個(gè)相關(guān)部門自行維護(hù)。

2.2 ISMS支持系統(tǒng)

為了更好宣貫、落實(shí)已經(jīng)制定的ISMS文檔體系，需要建立與之配套的IT支持系統(tǒng)。主要包括：ISMS管理系統(tǒng)、機(jī)房和敏感區(qū)域出入管理系統(tǒng)。

（1）ISMS管理系統(tǒng)

可以通過在現(xiàn)有OA系統(tǒng)上增加一個(gè)版塊，形成ISMS管理體系模塊。該功能模塊主要解決ISMS文檔體系的版本管理、統(tǒng)一發(fā)布、分發(fā)反饋控制、文檔發(fā)布反饋、文檔作廢聲明等。

（2）機(jī)房和敏感區(qū)域出入管理系統(tǒng)

將ISMS文檔體系中關(guān)于機(jī)房出入管理的流程，采用OA電子工單方式實(shí)現(xiàn)申請(qǐng)、審批、開通權(quán)限的電子管理流程。

3建設(shè)成效

通過ISMS信息安全體系建設(shè)，主要達(dá)到以下幾個(gè)效果：

（1）建立完整的信息安全管理體系

實(shí)現(xiàn)標(biāo)準(zhǔn)化（ISO/IEC27001：2005）、業(yè)界最佳實(shí)踐的結(jié)合；

完善安全管理組織機(jī)構(gòu)、人員崗位職責(zé)；

完善各種技術(shù)規(guī)范、操作手冊(cè)等文檔；

建立、健全信息安全事件上報(bào)機(jī)制和應(yīng)急預(yù)案；

明確各個(gè)崗位人員的關(guān)于安全事故的獎(jiǎng)懲責(zé)任制。

（2）安全工作開展有條不紊

安全責(zé)任、目標(biāo)明確；

實(shí)現(xiàn)IT安全運(yùn)維標(biāo)準(zhǔn)化、制度化管理。

（3）部分日常運(yùn)維工作實(shí)現(xiàn)IT流程化

機(jī)房、敏感數(shù)據(jù)區(qū)域的出入流程融入OA的工單系統(tǒng)；

強(qiáng)制從OA的工單系統(tǒng)走申請(qǐng)、審批、復(fù)核等流程；

任何操作都留下“蛛絲馬跡”，便于審計(jì)；

安全運(yùn)維水平體現(xiàn)方式由模糊變?yōu)閿?shù)字化、指標(biāo)化。

（4）建立信息安全門戶網(wǎng)站

統(tǒng)一發(fā)布、管理ISMS文檔體系；

集中展現(xiàn)公司信息安全治理水平，各個(gè)部門安全考核得分；

常見安全問題Q&A；

安全工具集錦。

（5）持續(xù)提升安全水平

建立安全管理持續(xù)提升機(jī)制；

定期進(jìn)行安全回顧；

目標(biāo)調(diào)整，管理、技術(shù)兩方面改進(jìn)。

（6）為27001做準(zhǔn)備

可以為今后通過ISO/IEC27001做準(zhǔn)備。

放眼電信市場(chǎng)，各大運(yùn)營(yíng)商的轉(zhuǎn)型創(chuàng)新如火如荼。IT與電信迅速融為一體成為ICT，而IT為傳統(tǒng)通信產(chǎn)業(yè)注入無(wú)限活力的同時(shí)，也引發(fā)了大量安全問題，能否解決這些安全問題，成為運(yùn)營(yíng)商與競(jìng)爭(zhēng)對(duì)手拉開差距的關(guān)鍵，并已成為新的業(yè)務(wù)增長(zhǎng)點(diǎn)。在此背景下，各大運(yùn)營(yíng)商需要建立完善的信息安全管理體系（ISMS），通過國(guó)際權(quán)威機(jī)構(gòu)的安全，并不斷鞏固完善，旨在贏得國(guó)內(nèi)外客戶的信任與國(guó)際資本市場(chǎng)的青睞，為企業(yè)的持續(xù)健康發(fā)展保駕護(hù)航。