作者： 盈智小编

第一部分：管理规范（Specification）－IT服务管理标准介绍

ISO/IEC 20000-1:2005 定义了服务提供者交付管理服务的需求。它可应用于以下情况：

1． 被向外提供服务的组织使用；
2． 被要求其所有外包服务供应商在同一供应链中一致工作的组织使用；
3． 被测度其IT服务管理的服务供应商使用；
4． 作为正式认证前的评估基础；
5． 被需要证明其有能力提供客户所需服务的组织使用；
6． 旨在通过管理和提升服务质量流程的有效实施来提升服务组织使用。

ISO20000-1:2005促进了组织采用流程整合的方法，有效地交付管理服务以满足业务和客户的需求。对于期望高效执行IT服务管理的组织而言，需要识别并管理大量的相关活动。服务管理流程的整合实施，为持续控制和改善IT服务提供了可能。

组织需要以较低的成本获得不断更新的基础设施，以满足他们的业务需求。随着服务外包日益普及，技术选择日益多样的今天，服务提供者必须不断努力来维持高水平的客户服务。由于被动响应，他们没有更多的时间进行规划、培训、检查、研究以及与客户共同工作。结果导致结构化、主动的服务举措难以得到实施。而客户要求服务提供者不断提高其服务质量、降低成本、增加灵活性并对客户的需求做出更快地响应。

相反，有效的服务管理能够交付高水平的客户服务和客户满意度。服务和服务管理对于组织创造价值并且符合成本效益是至关重要的。ISO/IEC 20000标准能够使服务提供者了解如何提高他们交付给内部或外部客户的服务质量。

ISO/IEC 20000标准描绘了IT服务管理标准与最佳实践之间的区别，这些流程与组织的构成或大小以及组织的名称和结构无关。ISO/IEC 20000标准适用于大型或小型的服务提供者。服务管理流程将以有限的资源水平为客户交付最能满足其需求的服务。如：专业的、符合成本效益的、风险受控的服务。

第二部分：实施准则（Code of practice）－实践指导

ISO/IEC 20000-2:2005为审计人员提供行业一致认同的指南，并且为服务提供者规划服务改善或通过ISO/IEC 20000-1:2005审核提供指导。 ISO/IEC 20000-2:2005基于已被替代的BS 15000-2的。

实践准则描述了在BS 15000-1中服务管理流程的最佳实践。为以最小成本满足业务需求，客户对使用先进设施会不断提出要求，服务提供就越发显得重要了。人们已经意识到服务和服务管理对于帮助组织开源节流的重要性。

ISO/IEC 20000-1是服务管理规范，在阅读时应结合ISO/IEC 20000-2。

ISO/IEC 20000系列能使组织了解如何从内部和外部改进其服务质量。

由于组织对服务支持的日益依赖，以及技术多样性的现状，服务提供方有可能通过努力保持客户服务的高水准。服务供应方往往被动工作，很少花时间规划、培训、检查、调查并与客户一同工作，其结果必然导致失败。其失败就源于没有采用系统、主动的工作方式。

服务供应商也常常被要求提高服务质量，降低成本、采用更大灵活性和更快反应速度。有效的服务管理能提供高水准的客户服务和较高的客户满意度

ISO/IEC 20000系列对流程的最佳实践进行了总结，可适用于不同规模、类型和结构的组织。

ISO/IEC 20000系列适用于大型或小型组织，服务管理流程最佳实践要求并不会因为组织形式不同而被改变。

ISO/IEC 20000-2描述了IT服务管理流程质量标准。这些服务管理流程为组织在一定环境中开展业务提供了最佳实践指南，包括提供专业服务、降低成本、调查和控制风险。

在同一流程中，在流程之间和工作团队之间使用各种术语往往会让一个刚接触服务管理的管理者不知所措。对术语的一知半解会阻碍建立有效的组织流程。因此了解ISO/IEC 20000术语非常重要。

ISO/IEC 20000-2推荐服务管理者采用一致的术语和统一的方法进行服务管理，这可以为改进服务交付基础，并有助于服务提供者建立一个服务管理框架。

ISO/IEC 20000-2为审计人员提供指南，并可为组织规划服务的改进提供帮助，以便组织通过ISO/IEC 20000-1认证。

　ISO20000不仅作为国际上第一套IT服务管理体系标准，同时基于ITIL最佳实践与PDCA方法论体系原则，使其在IT服务领域范围内具有一定的权威性及普及性。通过体系标准来规范其服务管理流程，能够帮助IT管理人员突破技术思维，运用流程管理的思想促进IT与业务的整合。正是这一点，使得ISO20000认证能够风靡全球。　　

ISO20000认证具有以下诸多好处：　　

通过国际化的IT服务管理体系标准认证后，可以提高企业在业界内的竞争能力;　　

通过标准化服务流程的规范化管理，不仅可以有效的提高运维支撑效率，更能有效控制或规避由于人员变动所带来的风险;　　

可以有效衡量服务水平，评估绩效，减少运营风险，有助于运营管理的持续改进;　　

可以帮助企业组织提高IT服务质量，降低IT服务成本。

一、经济合作和发展组织，《信息系统安全指南》(1992) 　　《信息系统安全指南》用于协助国家和企业构建信息系统安全框架。美国、OECD的其他23个成员国，以及十几个非OECD成员国家都批准了这一指南。该指南旨在提高信息系统风险意识和安全措施，提供一个一般性的框架以辅助信息系统安全度量方法、操作流程和实践的制定和实施，鼓励关心信息系统安全的公共和私有部门间的合作，促进人们对信息系统的信心，促进人们应用和使用信息系统，方便国家间和国际间信息系统的开发、使用和安全防护。这个框架包括法律、行动准则、技术评估、管理和用户实践，及公众教育或宣传。该指南目的是作为政府、公众和私有部门的标杆，通过此标杆测量进展。

二、国际会计师联合会，《信息安全管理》(1998) 　　信息安全目标是“保护依靠信息、信息系统和传送信息的人、通信设施的利益不因为信息机密性、完整性和可用性的故障而遭受损失”。任何组织在满足三条准则时可认为达到信息安全目标:数据和信息只透露给有权知道该数据和信息的人(机密性);数据和信息保护不受未经授权的修改(完整性);信息系统在需要时可用和有用(可用性)。机密性、完整性和可用性之间的相对优先级和重要性根据信息系统中的信息和使用信息的商业环境而不同。信息安全因急速增长的事故和风险种类而日益重要。对信息系统的威胁既有可能来自有意或无意的行动，也可能来自内部或外部。信息安全事故的发生可能是因为技术方面的因素、自然灾害、环境方面、人的因素、非法访问或病毒。另外，业务依赖性(依靠第三方通信设施传送信息，外包业务等等)也可能潜在地导致管理控制的失效和监督不力。

三、国际标准化组织，《ISO 17799国际标准》(最新版是2005) 　　ISO17799(根据BS 7799第一部分制定)作为确定控制范围的单一参考点，在大多数情况下，这些控制是使用业务信息系统所必须的。该标准适应任何规模的组织。它把信息作为一种资产，像其他重要商业资产一样，这种资产对组织有价值，因此需要恰当保护它。ISO 17799认为信息安全有下列特征:机密性，确保信息只被相应的授权用户访问;完整性，保护信息和处理信息程序的准确性和完整性;可用性，确保授权用户在需要时能够访问信息和相关资产。信息安全保护信息不受广泛威胁的损毁，确保业务连续性，将商业损失降至最小，使投资收益最大并抓住各种商业机遇。安全是通过实施一套恰当的控制措施实现的。该控制措施由策略、实践、程序、组织结构和软件组成。

四、信息系统审计和控制协会，《信息和相关技术的控制目标》(CoBIT) 　　CoBIT起源于IT需要传递组织为达到业务目标所需的信息这个前提，至今已有三个版本。除了鼓励以业务流程为中心，实行业务流程负责制外，CoBIT还考虑到组织对信用、质量和安全的需要，它提供了组织用于定义其对IT业务要求的几条信息准则:效率、效果、可用性、完整性、机密性、可靠性和一致性。CoBIT进一步把IT分成4个领域(计划和组织，获取和实施，交付和支持，监控)，共计34个IT业务流程。CoBIT为正在寻求控制实施最佳实践的管理者和IT实施人员提供了超过300个详细的控制目标，以及建立在这些目标上的广泛的行动指南。COBIT框架通过联结业务风险、控制需要和技术手段来帮助满足管理当局多样化的需求。它提供了通过一个范围和过程框架的最佳惯例，以形成一个可控和逻辑结构内的活动。

五、美国注册会计师协会(加拿大特许会计师协会)，《SysTrust TM系统可靠性原理和准则 V20》(2001) 　　SysTrust服务是一种保证服务，用于增强管理者、客户和商业伙伴对支持业务或某种特别活动的系统的信任。SysTrust服务授权注册会计师承担的保证服务包括:注册会计师从可用性、安全性、完整性和可维护性四个基本方面评估和测试系统是否可靠。 　　SysTrust定义在特定环境下及特定时期内，没有重大错误、缺陷或故障地运行的系统为可靠系统。系统界限由系统所有者确定，但必须包括基础设施、软件、人、程序和数据这几个关键部分。 SysTrust的框架可升级，企业能够灵活选择SysTrust标准的任何部分或全部来验证系统的可靠性。对系统四个标准的判断组成对系统整体可靠性的判断。注册会计师也能单独判断某一标准如可用性或安全性的可靠性状况。但是这种判断仅仅对特定标准的可靠性做出判断，不是对系统整体可靠性的判断。

风险评估过程中，可以利用一些辅助性的工具和方法来采集数据，包括：　　

* 调查问卷 —— 风险评估者通过问卷形式对组织信息安全的各个方面进行调查，问卷解答可以进行手工分析，也可以输入自动化评估工具进行分析。从问卷调查中，评估者能够了解到组织的关键业务、关键资产、主要威胁、管理上的缺陷、采用的控制措施和安全策略的执行情况。　

　* 检查列表 —— 检查列表通常是基于特定标准或基线建立的，对特定系统进行审查的项目条款，通过检查列表，操作者可以快速定位系统目前的安全状况与基线要求之间的差距。　

　* 人员访谈 —— 风险评估者通过与组织内关键人员的访谈，可以了解到组织的安全意识、业务操作、管理程序等重要信息。　* 漏洞扫描器 —— 漏洞扫描器（包括基于网络探测和基于主机审计）可以对信息系统中存在的技术性漏洞（弱点）进行评估。许多扫描器都会列出已发现漏洞的严重性和被利用的容易程度。典型工具有Nessus、ISS、CyberCop Scanner 等。　

　* 渗透测试 —— 这是一种模拟黑客行为的漏洞探测活动，它不但要扫描目标系统的漏洞，还会通过漏洞利用来验证此种威胁场景。　　除了这些方法和工具外，风险评估过程最常用的还是一些专用的自动化的风险评估工具，无论是商用的还是免费的，此类工具都可以有效地通过输入数据来分析风险，最终给出对风险的评价并推荐相应的安全措施。目前常见的自动化风险评估工具包括：　

　* COBRA —— COBRA（Consultative, Objective and Bi-functional Risk Analysis）是英国的C&A系统安全公司推出的一套风险分析工具软件，它通过问卷的方式来采集和分析数据，并对组织的风险进行定性分析，最终的评估报告中包含已识别风险的水平和推荐措施。此外，COBRA 还支持基于知识的评估方法，可以将组织的安全现状与ISO 17799 标准相比较，从中找出差距，提出弥补措施。C&A 公司提供了COBRA 试用版下载：http://www.security-risk-analysis.com/cobdown.htm。　

　* CRAMM —— CRAMM（CCTA Risk Analysis and Management Method）是由英国政府的中央计算机与电信局Central Computer and Telecommunications Agency，CCTA）于1985年开发的一种定量风险分析工具，同时支持定性分析。经过多次版本更新（现在是第四版），目前由Insight 咨询公司负责管理和授权。CRAMM是一种可以评估信息系统风险并确定恰当对策的结构化方法，适用于各种类型的信息系统和网络，也可以在信息系统生命周期的各个阶段使用。CRAMM的安全模型数据库基于著名的“资产/威胁/弱点”模型，评估过程经过资产识别与评价、威胁和弱点评估、选择合适的推荐对策这三个阶段。CRAMM与BS 7799 标准保持一致，它提供的可供选择的安全控制多达3000 个。除了风险评估，CRAMM还可以对符合99vIL（99v Infrastructure Library）指南的业务连续性管理提供支持。　

　* ASSET —— ASSET（Automated Security Self-Evaluation Tool）是美国国家标准技术协会（National Institute of Standard and Technology，NIST）发布的一个可用来进行安全风险自我评估的自动化工具，它采用典型的基于知识的分析方法，利用问卷方式来评估系统安全现状与NIST SP 800-26 指南之间的差距。NIST Special Publication 800-26，即信息技术系统安全自我评估指南（Security Self-Assessment Guide for Information Technology Systems），为组织进行99v系统风险评估提供了众多控制目标和建议技术。ASSET 是一个免费工具，可以在NIST 的网站下载：http://icat.nist.gov。　　

* CORA —— CORA（Cost-of-Risk Analysis）是由国际安全技术公司（International Security Technology, Inc. www.ist-usa.com）开发的一种风险管理决策支持系统，它采用典型的定量分析方法，可以方便地采集、组织、分析并存储风险数据，为组织的风险管理决策支持提供准确的依据。风险评估过程中，可以利用一些辅助性的工具和方法来采集数据，包括：　

　* 调查问卷 —— 风险评估者通过问卷形式对组织信息安全的各个方面进行调查，问卷解答可以进行手工分析，也可以输入自动化评估工具进行分析。从问卷调查中，评估者能够了解到组织的关键业务、关键资产、主要威胁、管理上的缺陷、采用的控制措施和安全策略的执行情况。　

　* 检查列表 —— 检查列表通常是基于特定标准或基线建立的，对特定系统进行审查的项目条款，通过检查列表，操作者可以快速定位系统目前的安全状况与基线要求之间的差距。　

　* 人员访谈 —— 风险评估者通过与组织内关键人员的访谈，可以了解到组织的安全意识、业务操作、管理程序等重要信息。　* 漏洞扫描器 —— 漏洞扫描器（包括基于网络探测和基于主机审计）可以对信息系统中存在的技术性漏洞（弱点）进行评估。许多扫描器都会列出已发现漏洞的严重性和被利用的容易程度。典型工具有Nessus、ISS、CyberCop Scanner 等。　

　* 渗透测试 —— 这是一种模拟黑客行为的漏洞探测活动，它不但要扫描目标系统的漏洞，还会通过漏洞利用来验证此种威胁场景。　　除了这些方法和工具外，风险评估过程最常用的还是一些专用的自动化的风险评估工具，无论是商用的还是免费的，此类工具都可以有效地通过输入数据来分析风险，最终给出对风险的评价并推荐相应的安全措施。目前常见的自动化风险评估工具包括：　

　* COBRA —— COBRA（Consultative, Objective and Bi-functional Risk Analysis）是英国的C&A系统安全公司推出的一套风险分析工具软件，它通过问卷的方式来采集和分析数据，并对组织的风险进行定性分析，最终的评估报告中包含已识别风险的水平和推荐措施。此外，COBRA 还支持基于知识的评估方法，可以将组织的安全现状与ISO 17799 标准相比较，从中找出差距，提出弥补措施。C&A 公司提供了COBRA 试用版下载：http://www.security-risk-analysis.com/cobdown.htm。　

　* CRAMM —— CRAMM（CCTA Risk Analysis and Management Method）是由英国政府的中央计算机与电信局Central Computer and Telecommunications Agency，CCTA）于1985年开发的一种定量风险分析工具，同时支持定性分析。经过多次版本更新（现在是第四版），目前由Insight 咨询公司负责管理和授权。CRAMM是一种可以评估信息系统风险并确定恰当对策的结构化方法，适用于各种类型的信息系统和网络，也可以在信息系统生命周期的各个阶段使用。CRAMM的安全模型数据库基于著名的“资产/威胁/弱点”模型，评估过程经过资产识别与评价、威胁和弱点评估、选择合适的推荐对策这三个阶段。CRAMM与BS 7799 标准保持一致，它提供的可供选择的安全控制多达3000 个。除了风险评估，CRAMM还可以对符合99vIL（99v Infrastructure Library）指南的业务连续性管理提供支持。　

　* ASSET —— ASSET（Automated Security Self-Evaluation Tool）是美国国家标准技术协会（National Institute of Standard and Technology，NIST）发布的一个可用来进行安全风险自我评估的自动化工具，它采用典型的基于知识的分析方法，利用问卷方式来评估系统安全现状与NIST SP 800-26 指南之间的差距。NIST Special Publication 800-26，即信息技术系统安全自我评估指南（Security Self-Assessment Guide for Information Technology Systems），为组织进行99v系统风险评估提供了众多控制目标和建议技术。ASSET 是一个免费工具，可以在NIST 的网站下载：http://icat.nist.gov。

　　* CORA —— CORA（Cost-of-Risk Analysis）是由国际安全技术公司（International Security Technology, Inc. www.ist-usa.com）开发的一种风险管理决策支持系统，它采用典型的定量分析方法，可以方便地采集、组织、分析并存储风险数据，为组织的风险管理决策支持提供准确的依据。

信息安全管理体系文件编制完成以后，组织应按照文件的控制要求进行审核与批准，并发布实施，至此，信息安全管理体系将进入运行阶段。体系运行初期一般称为试运行期或磨合期，在此期间体系运行的目的是要在实践中检验体系的充分性、适用性和有效性。在体系运行初期，组织应加强运作力度，通过实施其手册、程序和各种作业指导性文件等一系列体系文件，充分发挥体系本身的各项功能，及时发现体系策划本身存在的问题，找出问题根源，采取纠正措施，纠正各种不符合，并按照更改控制程序要求对体系予以更改，以达到进一步完善信息安全管理体系的目的。ISO27001运行过程中，组织应注意哪些方面？

　　有针对性地宣贯信息安全管理体系文件。

　　体系文件的培训工作是体系运行的首要任务，培训工作的质量直接影响体系运行的结果。组织应根据培训工作计划的安排并按照培训程序的要求对全体员工实施培训。通过培训使全体员工认识到新建立或完善的信息安全管理体系是对过去信息安全管理体系的变革，是为了向国际先进的信息安全管理标准接轨，要适应这种变革和新管理体系的运行，就必须认真学习、贯彻信息安全管理体系文件。

　　实践是检验真理的唯一标准。

　　体系文件通过试运行必然会出现一些问题，全体员工应将实践中出现的问题和改进意见如实反馈给有关部门，以便采取纠正措施。

　　将体系试运行中暴露出的问题，如体系设计不周、项目不全等进行协调、改进。

　　信息安全管理体系的运行涉及组织体系范围的各个部门，在运行过程中，各项活动往往不可避免的发生偏离标准的现象，因此，组织应按照严密、协调、高效、精简、统一的原则，建立信息反馈与信息安全协调机制对异常信息反馈和处理，对出现的问题加以改进，并保证体系的持续正常运行。

　　加强有关体系运行信息的管理，不仅是信息安全管理体系试运行本身的需要，也是保证试运行成功的关键。

　　所有与信息安全管理体系活动有关的人员都应按体系文件要求，做好信息安全的信息收集、分析、传递、反馈、处理和归档等工作。

　　信息安全体系文件属于组织的信息资产，包含有关组织的全部安全管理等敏感信息，组织应按照信息分类的原则对其进行分类、进行密级标注并实行严格的安全控制，未经授权不得随意复制或借阅。

最高管理者在信息安全管理体系通过以下活动，对建立、实施、运作、监视、评审、保持和改进ISMS的承诺提供证据：

　　a) 建立信息安全方针；
　　b) 确保信息安全目标和计划得以制定；
　　c) 建立信息安全的角色和职责；
　　d) 向组织传达满足信息安全目标、符合信息安全方针、履行法律责任和持续改进的重要性；
　　e) 提供充分的资源，以建立、实施、运作、监视、评审、保持并改进ISMS；
　　f) 决定接受风险的准则和风险的可接受等级；
　　g) 确保内部ISMS审核得以实施；
　　h) 实施ISMS管理评审。

公司做ISO27001的好处

引入信息安全管理体系就可以协调各个方面信息管理，从而使管理更为有效。保证信息安全不是仅有一个防火墙，或找一个24小时提供信息安全服务的公司就可以达到的。它需要全面的综合管理。

通过进行ISO27001信息安全管理体系认证，可以增进组织间电子电子商务往来的信用度，能够建立起网站和贸易伙伴之间的互相信任，随着组织间的电子交流的增加通过信息安全管理的记录可以看到信息安全管理明显的利益，并为广大用户和服务提供商提供一个基础的设备管理。同时，把组织的干扰因素降到最小，创造更大收益。

通过认证能保证和证明组织所有的部门对信息安全的承诺。

通过认证可改善全体的业绩、消除不信任感。

获得国际认可的机构的认证证书，可得到国际上的承认，拓展您的业务。

建立信息安全管理体系能降低这种风险，通过第三方的认证能增强投资者及其他利益相关方的投资信心。

组织按照ISO27001标准建立信息安全管理体系，会有一定的投入，但是若能通过认证机关的审核，获得认证，将会获得有价值的回报。企业通过认证将可以向其客户、竞争对手、供应商、员工和投资方展示其在同行内的领导地位;定期的监督审核将确保组织的信息系统不断地被监督和改善，并以此作为增强信息安全性的依据,信任、信用及信心,使客户及利益相关方感受到组织对信息安全的承诺。

通过认证能够向政府及行业主管部门证明组织对相关法律法规的符合性。

为什么需要信息安全？

◆信息及信息安全

信息像其他重要的商务资产一样，也是一种资产，对一个组织而言具有价值，因而需要被妥善保护。信息安全使信息避免一系列威胁，保障了组织商务的连续性，最大限度地减小组织的商务损失，顺利获取投资和商务回报。信息可以以多种形式存在。它可以是打印或写在纸上（如：书面的财务报表等）；电子形式存贮(如:一个组织ERP系统的备份磁带)；通过邮件或用电子手段传输；显示在胶片上；表达在会话中。不论信息采用什么方式或采取什么手段共享和存贮，因为它有价值，应该得到妥善的保护。

　信息安全主要体现在以下三个方面：

　一是保密性。保密性是指确保信息资料，特别是重要的信息资料，不流失，不被非本部门人员非法盗用。比如银行的储户信息，医院的病人就医资料，政府机关、安全部门的机密文件，企业的客户资料、商务信息、专利、专有技术资料等等，应该给谁看，不应该给谁看，什么级别/部门的人员可以看什么密别的信息资料，如何储存保管，都应制定具体的措施、规范，以防止因信息流失而造成不良影响和重大经济损失。

二是完整性。所谓信息资料的完整性，是指信息资料不丢失、不少缺。比如采取一定的措施防止存贮在电脑中的磁盘文件不因操作不当或病毒的侵袭而导致文件的残缺或丢失。再如防止存贮的打印文件因霉变、虫蛀而残缺、损坏，防止水灾、火灾、???而毁损文件和资料等。

　三是可用性。可用性是指当需要某一信息资料时，可马上拿得到。比如采取一定的措施，防止因某一资料员不在场或其它例外情况下，因为拿不到所需的资料而导致停工或错失商机等。

ISO 27001标准把信息资料看作是公司的资产，其对公司的生存与发展起着关键作用，尤其是在知识经济和电子信息时代，确保信息安全更是非常有必要的。英国曾做过一项统计，80%的信息资料的损失是与人为因素有关的。所以防止人为因素造成的信息风险被作为信息安全的主要控制对象。

ISO 27001信息安全管理体系一个重要的方面是对信息风险的分析与管理。信息风险涉及可能造成信息损失的方方面面。比如电脑病毒有导致信息资料丢失或损坏的危险，可规定定期进行电脑病毒的检查；外来人员进入本公司，有导致信息资料失窃的危险，可规定采用门口设密码、电子卡等方式进入公司；更新电脑软件有导致信息资料无法读取的风险，可规定在进行电脑软件的更新时对电脑软件的兼容性进行评估；聘请外公司人员为本公司工作，本公司信息资料有流失的危险，在这种情况下须与外公司人员签订保密协议；在审核磁盘资料时，有可能导致磁盘文件被更改，可设置程序保证审核人员使用只可读不可改的文件或备份文件；以及防止内部人员和工业???的窃取，拷贝的软盘与电脑分别存放于不同的房间，作废的文件资料监视销毁等。

信息安全是通过执行一套适当的控制来达到的。可以是方针、惯例、程序、组织结构和软件功能来实现，这些控制方式需要确定，才能保障组织特定的安全目标的实现。

　◆ 信息安全的重要性

信息及其支持过程的系统和网络都是组织的重要资产。信息的机密性、完整性和可用性对保持一个组织的竞争优势、资金流动、效益、法律符合性和商务形象都是至关重要的。

任何组织及其信息系统（如一个组织的ERP系统）和网络都可能面临着包括计算机辅助欺诈、刺探、阴谋破坏行为、火灾、水灾等大范围的安全威胁。随着计算机的日益发展和普及，计算机病毒、计算机???、服务器的非法入侵破坏已变得日益普遍和错综复杂。

目前一些组织，特别是一些较大型公司的业务已经完全依赖信息系统进行生产业务管理，这意味着组织更易受到安全威胁的破坏。组织内网络的互连及信息资源的共享增大了实现访问控制的难度。

有些组织的信息系统尽管在设计时可能已考虑了安全，但仅仅依靠技术手段实现安全仍然是有限的，还应当通过管理和程序来支持。

◆ 建立信息安全管理体系（ISMS）对任何组织都具有重要意义

任何组织，不论它在信息技术方面如何努力以及采纳如何新的信息安全技术，实际上在信息安全管理

方面都还存在漏洞，例如：

　1. 缺少信息安全管理论坛，安全导向不明确，管理支持不明显；

2. 缺少跨部门的信息安全协调机制；

3. 保护特定资产以及完成特定安全过程的职责还不明确；

4. 雇员信息安全意识薄弱，缺少防范意识，外来人员很容易直接进入生产和工作场所；

5. 组织信息系统管理制度不够健全；

6. 组织信息系统主机房安全存在隐患，如：防火设施存在问题，与危险品仓库同处一幢办公楼等；

7. 组织信息系统备份设备仍有欠缺；

8. 组织信息系统安全防范技术投入欠缺；

9. 软件知识产权保护欠缺；

10. 计算机房、办公场所等物理防范措施欠缺；

11. 档案、记录等缺少可靠贮存场所；

12. 缺少一旦发生意外时的保证生产经营连续性的措施和计划；.等等

通过以上信息管理方面的漏洞以及经常见诸报端的种种信息安全事件表明，任何组织都急需建立信息安全管理体系，以保障其技术和商业机密，保障信息的完整性和可用性，最终保持其生产、经营活动的连续性。

　◆ 建立信息安全管理体系的意义

组织可以参照信息安全管理模型，按照先进的信息安全管理标准ISO 27001标准建立组织完整的信息安全管理体系并实施与保持，达到动态的、系统的、全员参与、制度化的、以预防为主的信息安全管理方式，用最低的成本，使信息风险的发生概率和结果降低到可接受水平，并采取措施保证业务不会因风险的发生而中断。组织建立、实施与保持信息安全管理体系将会：

*强化员工的信息安全意识，规范组织信息安全行为；

* 对组织的关键信息资产进行全面系统的保护，维持竞争优势；

* 在信息系统受到侵袭时，确保业务持续开展并将损失降到最低程度；

　* 使组织的生意伙伴和客户对组织充满信心；

构建信息安全管理体系主要步骤

信息安全管理体系是组织在整体或特定范围内建立信息安全方针和目标，以及完成这些目标所用方法的体系。它是基于业务风险方法，来建立、实施、运行、监视、评审、保持和改进组织的信息安全系统，其目的是保障组织的信息安全。它是直接管理活动的结果，表示成方针、原则、目标、方法、过程、核查表（Checklists）等要素的集合，是涉及到人、程序和信息技术(Information Technology)系统。

　建立健全信息安全管理体系对企业的安全管理工作和企业的发展意义重大。首先，此体系的建立将提高员工信息安全意识，提升企业信息安全管理的水平，增强组织抵御灾难性事件的能力，是企业信息化建设中的重要环节，必将大大提高信息管理工作的安全性和可靠性，使其更好地服务于企业的业务发展。其次，通过信息安全管理体系的建设，可有效提高对信息安全风险的管控能力，通过与等级保护、风险评估等工作接续起来，使得信息安全管理更加科学有效。最后，信息安全管理体系的建立将使得企业的管理水平与国际先进水平接轨，从而成长为企业向国际化发展与合作的有力支撑。

参照信息安全管理模型，按照先进的信息安全管理标准建立的全面规划、明确目的、正确部署的、组织完整的信息安全管理体系，达到动态的、系统的、全员参与、制度化的、以预防为主的信息安全管理方式，实现用最低的成本，保障信息安全合理水平，从而保证业务的有效性与连续性。建立信息安全管理体系的步骤：　　强化员工的信息安全意识，规范组织信息安全行为；

　　对组织的关键信息资产进行全面系统的保护，维持竞争优势；

　　在信息系统受到侵袭时，确保业务持续开展并将损失降到最低程度；

　　使组织的生意伙伴和客户对组织充满信心；

　　如果通过体系认证，表明体系符合标准，证明组织有能力保障重要信息，提高组织的知名度与信任度；

　　促使管理层坚持贯彻信息安全保障体系。

　信息安全管理体系（ISMS）是一个系统化、程序化和文件化的管理体系，属于风险管理的范畴，体系的建立需要基于系统、全面、科学的安全风险评估。ISM体现预防控制为主的思想，强调遵守国家有关信息安全的法律法规，强调全过程和动态控制，本着控制费用与风险平衡的原则，合理选择安全控制方式保护组织所拥有的关键信息资产，确保信息的保密性、完整性和可用性，从而保持组织的竞争优势和业务运作的持续性。

　构建信息安全管理体系（ISMS）不是一蹴而就的，也不是每个企业都使用一个统一的模板，不同的组织在建立与完善信息安全管理体系时，可根据自己的特点和具体情况，采取不同的步骤和方法。但总体来说，建立信息安全管理体系一般要经过以下几个主要步骤：

　1、信息安全管理体系策划与准备

　策划与准备阶段主要是做好建立信息安全管理体系的各种前期工作。内容包括教育培训、拟定计划、安全管理发展情况调研，以及人力资源的配置与管理。　　2、确定信息安全管理体系适用的范围

信息安全管理体系的范围就是需要重点进行管理的安全领域。组织需要根据自己的实际情况，可以在整个组织范围内、也可以在个别部门或领域内实施。在本阶段的工作，应将组织划分成不同的信息安全控制领域，这样做易于组织对有不同需求的领域进行适当的信息安全管理。在定义适用范围时，应重点考虑组织的适用环境、适用人员、现有IT技术、现有信息资产等。

　3、现状调查与风险评估

　依据有关信息安全技术与管理标准，对信息系统及由其处理、传输和存储的信息的机密性、完整性和可用性等安全属性进行调研和评价，以及评估信息资产面临的威胁以及导致安全事件发生的可能性，并结合安全事件所涉及的信息资产价值来判断安全事件一旦发生对组织造成的影响。

　4、建立信息安全管理框架

建立信息安全管理体系要规划和建立一个合理的信息安全管理框架，要从整体和全局的视角，从信息系统的所有层面进行整体安全建设，从信息系统本身出发，根据业务性质、组织特征、信息资产状况和技术条件，建立信息资产清单，进行风险分析、需求分析和选择安全控制，准备适用性声明等步骤，从而建立安全体系并提出安全解决方案。

　5、信息安全管理体系文件编写

　建立并保持一个文件化的信息安全管理体系是ISO/IEC27001:2005标准的总体要求，编写信息安全管理体系文件是建立信息安全管理体系的基础工作，也是一个组织实现风险控制、评价和改进信息安全管理体系、实现持续改进不可少的依据。在信息安全管理体系建立的文件中应该包含有：安全方针文档、适用范围文档、风险评估文档、实施与控制文档、适用性声明文档。

　6、信息安全管理体系的运行与改进

信息安全管理体系文件编制完成以后，组织应按照文件的控制要求进行审核与批准并发布实施，至此，信息安全管理体系将进入运行阶段。在此期间，组织应加强运作力度，充分发挥体系本身的各项功能，及时发现体系策划中存在的问题，找出问题根源，采取纠正措施，并按照更改控制程序要求对体系予以更改，以达到进一步完善信息安全管理体系的目的。

　　7、信息安全管理体系审核

　体系审核是为获得审核证据，对体系进行客观的评价，以确定满足审核准则的程度所进行的系统的、独立的并形成文件的检查过程。体系审核包括内部审核和外部审核(第三方审核)。内部审核一般以组织名义进行，可作为组织自我合格检查的基础；外部审核由外部独立的组织进行，可以提供符合要求的认证或注册。　　至于应采取哪些控制方式则需要周密计划，并注意控制细节。信息安全管理需要组织中的所有雇员的参与，比如为了防止组织外的第三方人员非法进入组织的办公区域获取组织的技术机密，除物理控制外，还需要组织全体人员参与，加强控制。此外还需要供应商，顾客或股东的参与，需要组织以外的专家建议。信息、信息处理过程及对信息起支持作用的信息系统和信息网络都是重要的商务资产。信息的保密性、完整性和可用性对保持竞争优势、资金流动、效益、法律符合性和商业形象都是至关重要的。

　当前，越来越多的组织及其信息系统和网络面临着包括计算机诈骗、间谍、蓄意破坏、火灾、水灾等大范围的安全威胁，诸如计算机病毒、计算机入侵、DoS攻击等手段造成的信息灾难已变得更加普遍,有计划而不易被察觉。组织对信息系统和信息服务的依赖意味着更易受到安全威胁的破坏，公共和私人网络的互连及信息资源的共享增大了实现访问控制的难度。

许多信息系统本身就不是按照安全系统的要求来设计的，所以仅依靠技术手段来实现信息安全有其局限性，所以信息安全的实现必须得到管理和程序控制的适当支持。确定应采取哪些控制方式则需要周密计划，并注意细节。信息安全管理至少需要组织中的所有雇员的参与，此外还需要供应商、顾客或股东的参与和信息安全的专家建议。

ISO20000认证的基本条件和所需提供的材料

一、申请ISO20000认证的基本条件

1、中国企业持有工商行政管理部门颁发的《企业法人营业执照》、《生产许可证》或等效文件；外国企业持有关机构的登记注册证明。

2、申请方的IT服务管理体系已按ISO/IEC 20000-1:2011标准的要求建立，并实施运行3个月以上。

3、至少完成一次内部审核，并进行了管理评审。

4、信息技术服务管理体系运行期间及建立体系前的一年内未受到主管部门行政处罚。

二、申请ISO20000认证所需提供的材料

1、组织法律证明文件，如营业执照及年检证明复印件；、

2、 组织机构代码证书复印件；

3、申请认证体系有效运行的证明文件（如体系文件发布控制表，有时间标记的记录等复印件）；

4、申请组织简介：

4.1、组织简介（1000字左右）；

4.2、申请组织的主要业务流程；

4.3、组织机构图或职能表述文件；

5、申请组织的体系文件，需包含但不仅限于（可以合并）：

5.1、服务管理方针和计划；

5.2、服务级别协议；

5.3、能力管理流程；

5.4、服务连续性和可用性管理流程；

5.5、服务级别管理流程；

5.6、服务报告流程；

5.7、信息安全管理流程；

5.8、IT服务预算和核算流程；

5.9、业务关系管理流程；

5.10、供方管理流程；

5.11、事件及服务请求管理流程；

5.12、问题管理流程；

5.13、配置管理流程；

5.14、变更管理流程；

5.15、发布管理流程；

5.16、整个体系文件的结构和清单。

6、申请组织体系文件与ISO/IEC 20000-1:2011（E）要求的文件对照说明；

7、申请组织内部审核和管理评审的证明资料；

8、申请组织记录保密性或敏感性声明；