基于生命周期分析信息安全管理体系

明确的安全要求使得公司有章可循，而且这些要求最终要体现在安全策略当中。衡量一个信息安全策略的首要标准就是现实可行性。因此信息安全策略与现实业务状态的关系是：信息安全策略既要符合现实的业务状态，又要能满足未来一段时间的业务发展要求。因此，企业根据自己的安全要求和实际情况，合理地制定安全策略是信息安全管理建设的基础。

3.2 风险评估

根据有关信息安全技术与管理标准，对企业内以信息资产进行资产识别，其中信息资产包括：信息、人员、软件和硬件以及系统的运行状况与安全措施。

针对各个资产，对其进行重要性评估时，将考虑资产在失去机密性、完整性和可用性等安全属性对企业造成的危害，并评估该信息资产所面临的威胁及其发生安全事件的可能性，并结合如果发生安全事件后所涉及的各方面损失来判断安全事件可能对企业造成的影响。简而言之，就是风险计算，计算公式如下：

风险级别（R）=资产重要性（V）*风险发生可能性（L）

目前，实际工作中常使用的风险评估途径包括基线评估、详细评估和组合评估三种。而在风险评估过程中又有许多操作方法，如基于知识的分析方法、基于模型的分析方法、定性分析和定量分析等。无论采用哪种途径和操作方法，共同的目的都是得到三个最主要的分析结果：资产保护等级分类、安全事件防护等级分类以及目前安全水平与企业安全需求间的差距。

3.3 设计实施

在完成风险评估后，要在第一阶段制定的安全策略的指导下，并根据风险评估的结果设计详细的信息安全保护实施方案。

首先，从整体和全局的角度规划和建立一个合理的信息安全管理框架。从企业信息系统本身出发，对企业信息安全的不同层面进行整体安全分析，根据企业业务特征、组织形式、信息资产状况和技术条件，建立信息资产清单，进行安全需求分析和需要的安全控制级别，从而提出相应的安全解决方案。

安全解决方案的提出过程就是编写一套信息安全管理体系文件，应包含以下文档：安全方针文档、适用范围文档、风险评估文档、实施与控制文档、适用性声明文档等。这些文件的编写是建立信息安全管理体系的重要基础，也是一个企业实现风险控制和持续改进管理体系必不可少的依据。

3.4 运行改进

企业应按照编制的信息安全管理体系文件要求进行审核和批准并发布实施后，至此信息安全管理体系进入运行阶段。在此期间，企业应充分发挥管理体系本身的各项功能，及时找出管理体系中存在的问题，并采取纠正措施，按照更改要求对管理体系加以更改，以达到持续完善信息安全管理体系的目的。

信息安全管理体系的建立与实施，能从根本上强化员工的安全意识，规范信息安全行为，可以有效的降低和避免企业的信息资产安全风险，增强了企业的竞争优势。而且管理体系是在动态的技术环境中进行的，以预防为主的方式使企业以最低的成本支出达到可接受的信息安全水平。因此，建立完整的信息安全管理体系是为企业发展提供可靠的保障。

4 结束语

企业应以战略目标为指导，以风险管理为核心，以技术手段为支撑，严格按照以上四个阶段构建一套完善的信息安全管理体系，保障企业信息资产的安全。