摘要
本文首先分析了国内外信息安全新形式、信息安全管理方面研究的现状,依
据T集团公司面临的现实情况,提出要研宄的问题、目的和意义、思路和方法以
及相关的理论体系;其次分析了T集团公司信息安全管理现状、存在的问题并系
统性的剖析了原因,明确了现阶段信息安全管理亟待解决的问题,设计了符合T
集团公司多体系、多标准融合需求的信息安全管理体系模型;再次根据信息安全
管理体系模型详细阐述了该模型的建设内容,重点论述了信息安全管理体系的建
设内容,以及信息安全管理体系中多体系、多标准融合的问题,并依据ISO27001
和信息系统安全等级保护基本要求,基于PAS99理论进行融合为例说明;然后简
要论述了信息安全管理体系在T集团公司实施应用的要点,保证信息安全管理体
系能够推广、执行的评估方法以及应用后的成效;最后提出有待进一步完善信息
安全管理体系的方向和本文的不足。
本文的创新之处是建立了基于PAS99理论,将ISO27001和信息系统安全等
级保护基本要求等多个与T集团公司密切相关的信息安全政策、法规、规范以及
标准进行融合,同时满足T集团公司自身信息安全发展要求的信息安全管理体系。
为了使T集团公司刚建立的信息安全管理体系能够在全集团内得到有力推广并认
真执行,本文借用了T集团公司现有信息化信息安全评价体系在全集团范围内进
行信息安全评价考核,推动管理体系快速正常运行。
图20幅,表5个,参考文献54篇。
关键词:信息安全;信息安全管理;多体系融合;IS027001;等级保护
引言
1.1研究背景
近年来“震网”病毒、“棱镜门”等信息安全事件不断发生,引起各国政府
高度重视。2014年2月中国成立了以习近平主席为最高领导的信息安全管理机构
一一中央网信办,展现了强化顶层设计的思想,表明信息安全已经上升为中国国
家战略。
随着中央企业(简称央企,是由中国国务院国有资产监督管理委员会履行出
资人职责的企业)信息化建设不断深入开展,大数据、移动互联、云计算等新技
术、新模式在央企的广泛应用,越来越多的敏感内容以电子信息的形式存在,增
加了新形势下的安全隐患,信息系统安全面临新的挑战。目前安全威胁也正向多
元化、复杂化方向发展,以业务保障为首要目的的n运营管理目前已不再适合全
新环境下企业过程风险和未知风险管理的需求,以至于很多央企在发生安全威胁
后无法及时获知,因此,政府在反思在行动,中央企业也在探索基于攻防技术的
信息安全管理策略。
国家对大型企业信息安全建设工作提出了具体的要求:
(1)中央网信办会议上重点强调信息安全与信息化关系到国家安全与发展,
需要统一谋划、部署、推进与实施“〕。
(2)《国家信息化领导小组关于加强信息安全保障工作的意见》要求对信息
系统执行分等级保护,尤其需要对涉及国家基础信息网络和关系国家安全、经济
发展、社会和谐等方面的重要信息系统进行重点安全保护。
(3)公安部于2007年发布了在全国范围内开展重要信息系统安全等级保护
定级工作的通知[2]。
央企作为中国经济建设的中坚力量,一直以来都是国民经济建设和发展的主
力军。央企在应对来自内外部的威胁,以及贯彻落实各级主管部门、公安部门的
监管要求情况下,急需建立一套完善的基于攻防技术的安全管理体系来指导和开
展企业的各项信息安全工作。当前绝大多数央企信息安全主要工作是部署信息安
全防护设备,信息安全管理相对薄弱,需要及时予以解决。
T集团公司作为建筑类央企的排头兵,一直以来在大力创收的同时,集团也非
常重视信息安全工作,在信息中心的推动下不断开展信息安全建设工作,部署了
包括网络安全、终端安全、身份安全等一系列安全防护措施,出台了多项安全管