[摘要] 随着社会的发展，企业对信息资源的依赖程度越来越大，由此带来的信息安全问题日益突出。本文分析了ISO/IEC的信息安全管理体系和实施信息安全管理的关键因素。认为企业的信息安全应遵从PDCA的过程方法论持续改进以确保信息安全的长治久安。

　　. 前言

　　国务院总理温家宝年月日主持召开国务院常务会议，研究部署推进信息化发展、保障信息安全工作。会议指出，当前，世界各国信息化快速发展，信息技术的研发和应用正在催生新的经济增长点，以互联网为代表的信息技术在全球范围内带来了日益广泛、深刻的影响。加快推进信息化建设，建立健全信息安全保障体系，对于调整经济结构，转变发展方式，保障和改善民生，维护国家安全，具有重大意义。今后一段时期，要以促进资源优化配置为着力点，构建现代信息技术产业体系，全面提高经济社会信息化发展水平;加强统筹协调和顶层设计，健全信息安全保障体系，切实增强信息安全保障能力，维护国家信息安全，促进经济平稳较快发展和社会和谐稳定。

　　进入世纪，信息化对经济社会发展的影响更加深刻。随着社会的发展，企业对信息资

　　源的依赖程度越来越大，由此带来的信息安全问题日益突出。企业在研发、设计和生产产品或提供服务时多会涉及到客户的重要信息(如业务数据等)，如果自身没有信息安全保障是难以得到用户的信任的。另外，如果企业自身的信息安全管理有重大疏漏，也无法保证其产品及服务的安全可靠。当前，企业在黑客和病毒日益猖獗的网络环境下不仅要保护自身信息的安全，还要保护企业客户信息的安全，因此有必要从体系管理的高度构建企业信息安全。

　　作者公司网络架构物理上分为内部网和外部网。行政楼、科研楼、南区栋大楼信息点共个内部网信息点(包括网络数据点和电话语音点)，其中数据点 个，语音点个。外部网是通过电信光纤专线共享上网;网吧区在行政楼二、三楼,科研楼三、四、五楼。网络线路已使用年，网线有使用寿命，埋地的线路受潮，有时网络中断等问题。

　　.公司内部网的信息安全问题:

　　在实际工作中，计算机和网络的故障现象很多，主要包括硬件故障、软件故障、网络故障三大类。公司多台服务器过保修期仍在全天使用。机房大多数思科交换机过保修期仍在全天使用。很多台式电脑、笔记本过了保修期,其中多台用了年以上,容易出现硬件故障。

　　公司共用内部网络资源，使用部门多，VLAN多，网络环境复杂,IP地址有时冲突,找不到哪台电脑;还有电脑名称不规范问题。

　　日常办公在网络环境中使用电子文档，U盘，EMAIL，有中毒现象，内部网安装了NOD企业版防病毒软件、微点主动防御软件网络版;还有电子文档可能泄密的安全性问题，安装了天盾文档安全系统。

　　软件平台的金蝶K ERP系统和金蝶OA系统的数据库安全和日常使用安全等。

　　.公司外部网的信息安全问题:

　　网吧电脑属于公共资源，在行政楼、科研楼，通过光纤和网线联接网络设备并配置开通使用，公司的用户,跨楼宇、多楼层、多部门使用，因网络环境复杂，难于管控。现在通过中国电信企智通系统管理:有上网记录统计、流量统计分析、上网监控功能等，目前设置限制使用BT、讯雷、游戏、视频功能，日常工作中使用IE另存为方法下载附件和资料。

　　网吧电脑有时网速很慢，文件下载不了，严重时会断网，但网络环境复杂，不知原因在哪，没有好的解决办法。有黑户上网，甚至有人私自用无线路由上网，不知上网源在哪，难于管控。网吧电脑现在使用杀毒软件,有中毒现象。

　　财务网上业务电脑(网上银行、网上报税、网上发工资和交员工社保等)。

　　.ISO/IEC的信息安全管理体系

　　信息安全管理体系是组织在整体或特定范围内建立信息安全方针和目标，以及完成这些目标所用方法的体系。它是直接管理活动的结果，表示成方针、原则、目标、方法、过程、审查表等要素的集合。

　　ISO/IEC是建立和维持信息安全管理体系的标准，标准要求组织通过确定信息安全管理体系范围、制定信息安全方针、明确管理职责、以风险评估为基础选择控制目标与控制方式等活动建立信息安全管理体系;体系一旦建立组织应按体系规定的要求进行运作，保持体系运作的有效性;信息安全管理体系应形成一定的文件，即组织应建立并保持一个文件化的信息安全管理体系，其中应阐述被保护的资产、组织风险管理的方法、控

[1] [2] [3]  下一页