第四章  大数据时代计算机信息处理安全问题研究




              IEC27002:2013 信息安全管理实施指南最为知名。
                  ISO/IEC27002 标准规范了信息安全管理的 14 个方面领域，包括信息安全策
              略、信息安全组织、人力资源安全、资产管理、访问控制、密码学、物理和环境
              安全、运营安全、通信安全、系统获取、开发和维护、供应商管理、信息安全事

              件管理、业务连续性管理和合规性。目前国内外企业都以通过 ISO/IEC27001 作
              为其企业信息安全管理的重要目标。究其根本原因是一个企业在安全的信息环境
              下正常运转，是其客户和供应商首先考虑的重要因素。因此企业会不断进行信息
              安全管理的建设和完善，并将企业信息安全管理与企业管理充分结合，提升企业

              整体的竞争力，也为投资者增加信心，加快企业的发展。
                  （二）“PDCA 循环”理论
                  表现为方针、策略、标准、指南、程序和实施的信息安全管理体系是信息安
              全管理活动的直接结果，信息安全管理体系标准的建立和维持是一个周期性过程。

              通过采用 PDCA14 的模式，企业使信息安全管理体系得到持续优化和改进，使
              信息安全绩效持续上升。应用 PDCA 建立、优化信息安全管理体系的整体过程：
                  P- 计划阶段（Plan）：制定企业的整体、长远信息安全计划，明确信息安全
              目标和范围。

                  D- 实施阶段（Do）：信息安全目标实现的过程。通过管理、技术、人员有
              效结合，实现信息安全目标。
                  C- 检查阶段（Check）：对信息安全目标实现进行检查，发现新的问题、不足，
              发现新的可以优化改进的点。

                  A- 改进阶段（Act）：对检查部分发现的不足进行改进，提升管理水平。
                  （三）信息安全管理体系内容
                  1. 管理体系框架
                  依据 ISO27001 建立信息安管管理体系和多维度的信息安全框架。信息安全

              框架依据 ISO27001 管理体系要求，从四个大的方面进行构建，分别是安全策略
              体系、安全技术体系、安全组织体系和安全运维体系。
                  要实现企业的信息安全，需要从人、技术、管理和监督的维度去全面落实。
              其一，企业需要构建安全组织来负责信息安全整体工作，并制定企业整体信息安

              全目标。安全组织以团队方式组建，每个团队需要职责清晰，责任到位。其二，
              为了实现企业制信息安全目标，需要有一定的组织策略，规范和指南来指导企业


                                                                                  ·133·