iso27001认证——企业迎来春天，信息化建设再上新台阶

　　病毒破坏、黑客攻击、信息系统瘫痪、网络欺诈、重要信息资料丢失以及利用计算机网络实施的各种犯罪行为，人们已不再陌生，并且这样的事件好像经常在我们身边发生。

　　随着科技的进步，信息化的发展，信息安全的作用日益重要。企业面临着信息技术发展和信息安全的双重巨大压力，迫切需要加强信息系统的安全管理，采用业界通用标准，建设符合自身发展需要的信息安全管理体系。

    长久以来，很多人自觉不自觉地都会陷入技术决定一切的误区当中，尤其是那些从事信息系统集成业务的人员和企业。最早的时候，人们把信息安全的希望寄托在加密技术上面，认为一经加密，什么安全问题都可以解决。

　　随着互连网络的发展，一段时期我们又常听 到"防火墙决定一切"的论调。及至更多安全问题的涌现，入侵检测、PKI、VPN  等新的技术应用被接二连三地提了出来，但无论怎么变化，还是离不开技术统领信息安全的路子。可这样的思路能够真正解决安全问题吗？也许可以解决一部分，但却解决不了根本。

　　实际上，对安全技术和产品的选择运用，这只是信息安全实践活动中的一部分，只是实现安全需求的手段而已。信息安全更广泛的内容，还包括制定完备的安全策略，通过风险评估来确定需求，根据需求选择安全技术和产品，并按照既定的安全策略和流程规范来实施、维护和审查安全控制措施。归根到底，信息安全并不是技术过程，而是管理过程。

    信息系统集成从业企业之所以有这样的认识误区，原因是多方面的，从安全产品提供商的角度来看，既然侧重在于产品销售，自然从始至终向客户灌输的都是以技术和产品为核心的理念。而从客户角度来看，只有产品是有形的，是看得见摸得着的，对决策投资来说，这是至关重要的一 点，而信息安全的其他方面，比如无形的管理过程，自然是遭致忽略。

    正是因为有这样的错误认识，我们就经常看到：许多组织使用了防火墙、IDS、安全扫描等设备，但却没有制定一套以安全策略为核心的管理措施，致使安全技术和产品的运用非常混乱，不能做到长期有效和更新。即使组织制定有安全策略，却没有通过有效的实施和监督机制去执行，使得策略空有其文，成了摆设而未见效果。

    实际上对待技术和管理的关系应该有充分理性的认识：技术是实现安全目标的手段，管理是选择、实施、使用、维护、审查包括技术措施在内的安全手段的整个过程，是实现信息安全目标的必由之路。

　　因此，对于从事信息系统集成的企业来说，有了安全的信息网络集成产品，还需要提升企业信息安全管理体系的建立，这也是构建企业软实力的重要标志。

　　如果iso27001认证顺利通过，多年来高度重视企业和用户信息安全，持续建设投入的必然成果。经过此次信息安全管理体系认证的系统全面梳理，强化了全员的信息安全意识，规范了组织信息安全行为。公司的信息安全管理水平达到一个新的高度，将为公司及客户提供更坚实的信息安全保障。

　　当然，在信息安全风险评估领域需要研究和解决的问题还很多，主要包括的问题如下：

（1）    ISO27001 仅仅提供了一些原则性的建议，如何将这些原则性建议与企业自身的工作实际情况相结合，在企业中实施符合自身状况的信息安全管理体系，才是真正具有挑战性的工作。

（2）　建立信息安全管理体系后。接下来，还需要按照生产流程的顺序，分批分期实施信息安全管理体系，逐步在全公司范围实现ISO27001认证。

（3）　信息安全风险评估模型设计和实施过程中，建立完备和针对性能够强的资产、威胁和脆弱性的知识库有利于提高风险评估的准确性和全面性，同时如何用程序来实现风险评估的自动化，尽量减少人工的重复性工作也是非常重要。