ISO27001信息安全管理体系标准解读

　　制定ISO/IEC27001信息安全管理体系的用途和应用对象。为建立、实施、运行、监视、评审、保持和改进信息安全管理体系提供了模型。

　　这种模型:是高度概括的，也不正对具体的行业，因此标准中指出:按照组织的需要实施ISMS，是本标准所期望的。简单的情况可以采用简单的ISMS,这意味着应用组织可以裁减使用。正文的第四章到第八章的内容基本可以认为是建立PDCA模型的过程。"0.2的过程方法”对过程、过程方法以及该标准所采用的PDCA模型进行 了描述。

　　标准开门见山地指明:本标准采用一种过程方法来建立、 实施、运行、监督、评审、保持和改进-个组织的ISMS。这句话说明了本标准时采用的过程方法。

　　过程方法被广泛的应用于目前所流行的标准中，ISO/IEC27001信息安全管理体系所应用的过程方法有其特别之处。

　　①理解组织的信息安全要求和建立信息安全方针与目标的需要

　　②从组织整体业务风险的角度,实施和运行控制措施，以管理组织的信息安全风险

　　③监视和评审ISMS的执行情况和有效性

　　④基于客观测量的持续改进有很多现行的模型都可以满足工程过程方法的要求，而本标准首先要满足上述理解这四点时，应该注意:

　　①从组织的整体出发，不能为了安全而安全，基于此，组织对安全的需求是不同的，绝对的安全或者过度

　　的安全都是不必要的，甚至是浪费的。

　　②信息安全风险的管理必须考虑整体业务风险，因为信息系统不是组织的全部,不去考虑整体的业务风险，就没有站在组织的视角去理解信息安全，而且脱离整体业务考虑的控制，也不可能真正解决组织信息安全的问题。

　　③注重监视和评审，监视和评审时持续改进的基础。如果缺乏对执行的有效的测量。目前国际化标准组织推出了四个管理体系标准①ISO9001质量管理体系

　　②OHSAS18001职业健康安全管理体系

　　③ISO14001环境管理体系

　　④ISO27001信息安全管理体系

　　这四个管理体系都采用了系统的方法，即PDCA模型,越来越多的组织会选择其中几个甚至全部在组织内应用，显然,让各个体系各行其是是不现实的。因此，标准指出: -个设计适当的管理体系可以满足所有这些标准的要求。管理体系的整合已经成为大势所趋。基于“三标(除信息安全)”的整合管理体系在国内比较常见，也有大量的参考资料。基纡“四标”的整合管理体系国内有实施，例如:国家电网浙江宁波电业局的基于流程的资料、职业健康安全、环境和信息安全四标一体整合管理体系，但是目前还没有公开资料。