電力信息安全管理體系應用及發(fā)展研究

圖5 ISO/IEC 27001架構調整圖

信息安全管理體系的這種變化，從管理體系層面來(lái)看，有利于與其他管理體系的兼容實(shí)施，并保障不同管理體系之間的協(xié)調一致。但就信息安全管理體系本身而言，其原有的標準架構直接規范了體系的建設流程，按PDCA四個(gè)階段明確了各流程的活動(dòng)，比較有利于體系建設方應用該標準。而新架構劃分了更多的環(huán)節與控制，這種架構將影響到原有用戶(hù)對體系的認識，從邏輯性和條理性方面，都將需要一定時(shí)間的學(xué)習，因此會(huì )一定程度上增大體系建設的難度。

3.3 信息安全控制域的變化

新版本的ISO/IEC 27001不僅從架構上做了調整，從內容，尤其是信息安全控制方面，也做了相應調整。

原有標準將信息安全控制域劃分為11個(gè)方面：安全方針、信息安全組織、資產(chǎn)管理、人力資源安全、物理和環(huán)境安全、通信和操作管理、訪(fǎng)問(wèn)控制、信息系統獲取開(kāi)發(fā)和維護、信息安全事件管理、信息安全業(yè)務(wù)連續性管理、符合性。新標準將增加供應商關(guān)系管理、網(wǎng)絡(luò )應用服務(wù)管理兩個(gè)方面，控制域中的控制類(lèi)也做了相應調整，例如將原來(lái)信息安全組織域中的對外部各方的管理，調整到新的供應商關(guān)系管理中。

體系在這方面的變化，也將影響到原有體系建設用戶(hù)，從整個(gè)文件體系的框架設計，到具體安全策略，可能都需要做相應的調整。

4 結束語(yǔ)

只要存在信息化應用，就會(huì )有信息安全問(wèn)題。隨著(zhù)組織信息化水平的不斷提高，其對信息化的依賴(lài)性也越來(lái)越強，因此信息安全也就成為組織信息化工作中非常重要的一環(huán)。信息安全管理體系作為實(shí)現組織信息安全的一種優(yōu)秀方法，已經(jīng)得到了業(yè)界的認可。

本文從信息安全管理體系的特點(diǎn)出發(fā)，基于風(fēng)險管理和持續改進(jìn)的思想，從實(shí)踐出發(fā)，提出了行之有效的實(shí)施方法，此外，本文還跟蹤研究了信息安全管理體系的最新發(fā)展，介紹了信息安全管理體系在架構、內容等方面的重大變化，指出了這種變化對未來(lái)實(shí)施信息安全管理體系的影響。