作者簡(jiǎn)介：李莉，主要從事信息系統(tǒng)和網(wǎng)絡(luò)設(shè)備安全研究和測(cè)試工作。呂敏，主要從事通信安全生產(chǎn)、風(fēng)險(xiǎn)評(píng)估以及相關(guān)科研管理工作。

隨著經(jīng)濟(jì)全球化的發(fā)展，組織在業(yè)務(wù)開展過程中面臨的風(fēng)險(xiǎn)日益增多。各類組織面對(duì)繁雜的經(jīng)濟(jì)社會(huì)環(huán)境和不斷變化的法律法規(guī)、政策、技術(shù)變化，對(duì)提高組織的風(fēng)險(xiǎn)管理水平、建設(shè)信息安全管理體系、增強(qiáng)防范風(fēng)險(xiǎn)的能力有著迫切的需求。本文介紹了基于風(fēng)險(xiǎn)管理思想的信息安全管理體系策劃和實(shí)施過程，并從第三方審核的角度對(duì)信息安全管理體系的建立要點(diǎn)進(jìn)行了分析。這對(duì)組織信息安全管理體系建設(shè)具有積極的指導(dǎo)作用。

1   ISO 31000簡(jiǎn)介

ISO 于2009 年發(fā)布了《ISO 31000:2009 風(fēng)險(xiǎn)管理——原則與指南》，最新版本為2018 版。ISO 31000風(fēng)險(xiǎn)管理實(shí)踐性指南是通用的安全風(fēng)險(xiǎn)管理標(biāo)準(zhǔn)，促使組織結(jié)合運(yùn)用先進(jìn)的風(fēng)險(xiǎn)管理理論和業(yè)界普遍的良好實(shí)踐來實(shí)現(xiàn)組織的風(fēng)險(xiǎn)管理活動(dòng)。該標(biāo)準(zhǔn)不局限于財(cái)務(wù)、人力資源、法務(wù)、信息安全等行業(yè)或業(yè)務(wù)，對(duì)組織運(yùn)營(yíng)過程全周期的所有業(yè)務(wù)都有指導(dǎo)作用。

相比于傳統(tǒng)的風(fēng)險(xiǎn)管理方法，ISO 31000 風(fēng)險(xiǎn)管理指南強(qiáng)調(diào)要充分考慮組織環(huán)境的變化，適應(yīng)這種變化，在事前、事中積極應(yīng)對(duì)風(fēng)險(xiǎn)，而不僅限于追責(zé)和修正式的事后反應(yīng)。同時(shí)，ISO 31000 建議將風(fēng)險(xiǎn)管理提升到組織業(yè)務(wù)方針的高度，不局限為某一風(fēng)險(xiǎn)管理部門的職責(zé)，更不能由各個(gè)部門割裂開來分別考慮局部的風(fēng)險(xiǎn)情況。

應(yīng)用ISO 31000 風(fēng)險(xiǎn)管理指南，組織可以識(shí)別冗余的控制，減少管理成本；在一定程度上提高組織識(shí)別和遵守法規(guī)和國(guó)際規(guī)范的能力；提高應(yīng)對(duì)風(fēng)險(xiǎn)和利用機(jī)會(huì)的能力，改善組織配置資源的效率；提高組織的管理水平，促進(jìn)相關(guān)方對(duì)組織的信任。

ISO 31000 的風(fēng)險(xiǎn)管理框架高度抽象，由11 項(xiàng)風(fēng)險(xiǎn)管理原則、6 個(gè)風(fēng)險(xiǎn)管理框架組成部分和5 個(gè)相關(guān)聯(lián)的風(fēng)險(xiǎn)處理流程組成。指南從原則和方法論的高度，提出了風(fēng)險(xiǎn)管理原則和概念性的方法，對(duì)組織的風(fēng)險(xiǎn)體制提出了指導(dǎo)性意見，組織應(yīng)用這個(gè)框架時(shí)要充分考慮組織自身的實(shí)際情況，結(jié)合業(yè)務(wù)具體流程，而不是簡(jiǎn)單套用ISO 31000 的框架^[1]。

2   ISMS簡(jiǎn)介

ISMS（information security management systems，信息安全管理體系）源于國(guó)際標(biāo)準(zhǔn)ISO/IEC 17799。2005 年，國(guó)際標(biāo)準(zhǔn)化組織對(duì)該標(biāo)準(zhǔn)重新編號(hào)，規(guī)劃為ISO/IEC 27002。目前該標(biāo)準(zhǔn)簇包括20 多個(gè)標(biāo)準(zhǔn)，其中ISO/IEC 27001 和ISO/IEC 27002 被我國(guó)同等采用為GB/T 22080 和GB/T 22081。這兩個(gè)標(biāo)準(zhǔn)是協(xié)議簇中最重要的兩個(gè)標(biāo)準(zhǔn)。建立ISMS 管理體系，就是依據(jù)ISO/IEC27000 標(biāo)準(zhǔn)簇建立組織的信息安全管理體系^[2-4]。ISMS 與其他風(fēng)險(xiǎn)評(píng)估評(píng)測(cè)制度的重要區(qū)別在于其實(shí)踐性，關(guān)注信息系統(tǒng)在特定應(yīng)用場(chǎng)景中的安全風(fēng)險(xiǎn)，是一種實(shí)踐指南。

3   ISO 31000對(duì)ISMS的指導(dǎo)作用

ISO 31000 指南應(yīng)用廣泛，ISMS 的風(fēng)險(xiǎn)管理流程就是按照ISO 31000 的風(fēng)險(xiǎn)框架實(shí)施的。ISO 31000 的風(fēng)險(xiǎn)管理框架由5 個(gè)相關(guān)聯(lián)的風(fēng)險(xiǎn)處理流程組成，分別是風(fēng)險(xiǎn)管理框架的授權(quán)與承諾、設(shè)計(jì)、實(shí)施、監(jiān)測(cè)評(píng)審和改進(jìn)。這個(gè)框架與ISMS 管理體系中的PDCA 循環(huán)（計(jì)劃、執(zhí)行、檢查、改進(jìn)）本質(zhì)上是一致的。ISMS 的風(fēng)險(xiǎn)管理流程可分為幾個(gè)步驟，如圖1。

信息安全風(fēng)險(xiǎn)管控流程主要分為風(fēng)險(xiǎn)評(píng)估和風(fēng)險(xiǎn)處置兩個(gè)階段。組織實(shí)施信息安全評(píng)估和風(fēng)險(xiǎn)處置的過程要滿足組織的環(huán)境及其相關(guān)方的要求，將這些要求融入到風(fēng)險(xiǎn)管控過程，并針對(duì)意外的影響，制定有效的應(yīng)急措施。ISMS 要求實(shí)施信息安全風(fēng)險(xiǎn)評(píng)估，執(zhí)行風(fēng)險(xiǎn)分析和風(fēng)險(xiǎn)評(píng)價(jià)。ISO 27001：2013 標(biāo)準(zhǔn)在信息安全風(fēng)險(xiǎn)識(shí)別方面不再局限于以資產(chǎn)識(shí)別為導(dǎo)向，而是引入ISO 31000的指導(dǎo)思想，可以采用任何適用的方式進(jìn)行風(fēng)險(xiǎn)識(shí)別，情景分析法、頭腦風(fēng)暴法都是有效的風(fēng)險(xiǎn)識(shí)別方法。

組織應(yīng)制定信息資產(chǎn)識(shí)別分類辦法，形成風(fēng)險(xiǎn)評(píng)估的信息資產(chǎn)清單。根據(jù)信息資產(chǎn)機(jī)密性、完整性和可用性的賦值，加權(quán)計(jì)算出重要信息資產(chǎn)。根據(jù)資產(chǎn)本身的脆弱性和威脅發(fā)生的可能性及導(dǎo)致后果的嚴(yán)重程度，計(jì)算出威脅和脆弱性。結(jié)合資產(chǎn)重要性、脆弱性大小和威脅大小，依據(jù)組織的風(fēng)險(xiǎn)評(píng)價(jià)方法，得出組織的風(fēng)險(xiǎn)評(píng)價(jià)表。根據(jù)風(fēng)險(xiǎn)評(píng)價(jià)準(zhǔn)則，判斷各個(gè)風(fēng)險(xiǎn)能否接受。對(duì)于不能接受的風(fēng)險(xiǎn)，需要進(jìn)一步進(jìn)行風(fēng)險(xiǎn)處置。風(fēng)險(xiǎn)處置要依據(jù)組織的風(fēng)險(xiǎn)處置計(jì)劃，形成不可接受風(fēng)險(xiǎn)的控制措施列表。風(fēng)險(xiǎn)處置后再次評(píng)價(jià)風(fēng)險(xiǎn)接受情況。風(fēng)險(xiǎn)處置的結(jié)果有可能是風(fēng)險(xiǎn)降低，但也有可能是隨著新風(fēng)險(xiǎn)處置措施的引入，風(fēng)險(xiǎn)會(huì)升高或帶來新的威脅。風(fēng)險(xiǎn)處置后應(yīng)形成殘余風(fēng)險(xiǎn)報(bào)告，風(fēng)險(xiǎn)處置報(bào)告需要風(fēng)險(xiǎn)責(zé)任人批準(zhǔn)。如果風(fēng)險(xiǎn)責(zé)任人接受風(fēng)險(xiǎn)處置報(bào)告，風(fēng)險(xiǎn)處置結(jié)束；若不接受，需要繼續(xù)進(jìn)行風(fēng)險(xiǎn)處置，直到殘余風(fēng)險(xiǎn)在可接受范圍內(nèi)。信息安全是一個(gè)相對(duì)的概念，組織通常需要權(quán)衡信息安全水平和付出的時(shí)間、人力、財(cái)務(wù)成本等，平衡這些因素是否在組織能接受的范圍內(nèi)。

ISMS 體系建立不是一蹴而就的過程，組織應(yīng)按照ISMS 管理體系要求，進(jìn)行績(jī)效評(píng)價(jià)和體系改進(jìn)。按照計(jì)劃實(shí)施信息安全內(nèi)部審核和管理評(píng)審，糾正發(fā)現(xiàn)的不合格，制定糾正措施，實(shí)現(xiàn)持續(xù)改進(jìn)，實(shí)現(xiàn)ISO 31000要求的監(jiān)測(cè)和改進(jìn)循環(huán)。

4   ISMS審核實(shí)踐

4.1 管理溝通

理解并確定組織的內(nèi)外部環(huán)境是建立ISMS 的前提條件。組織建立該體系的動(dòng)機(jī)可能是為了提升自身管理水平，也可能是出于市場(chǎng)壓力，為了滿足市場(chǎng)要求。在審核時(shí)首先應(yīng)當(dāng)與管理層溝通，了解組織建立ISMS 的目的。對(duì)組織的信息安全外部環(huán)境，主要從政策法規(guī)、物理環(huán)境、網(wǎng)絡(luò)環(huán)境、市場(chǎng)和供方的信息安全要求等方面考慮。了解組織的內(nèi)部環(huán)境，主要考慮組織的技術(shù)資源、網(wǎng)絡(luò)設(shè)備資源和人力資源等。了解組織的相關(guān)方在信息安全方面的要求，包括國(guó)家政策、主管機(jī)構(gòu)、客戶和供方、審計(jì)認(rèn)證機(jī)構(gòu)，甚至訪客等各種相關(guān)方對(duì)組織信息安全的要求。全面了解組織所處的內(nèi)外部環(huán)境和相關(guān)方要求，有利于提高審核的有效性和針對(duì)性。

4.2 信息安全管理體系核心

信息安全管理體系的核心包括策劃和運(yùn)行兩個(gè)核心環(huán)節(jié)，即策劃應(yīng)對(duì)風(fēng)險(xiǎn)和機(jī)會(huì)的措施，并運(yùn)行信息安全管理體系。信息安全風(fēng)險(xiǎn)策劃環(huán)節(jié)主要審核組織的安全風(fēng)險(xiǎn)管控流程滿足ISO 27001 標(biāo)準(zhǔn)的程度。策劃的信息安全風(fēng)險(xiǎn)評(píng)估和處置程序應(yīng)具有完備性和可執(zhí)行性，且風(fēng)險(xiǎn)評(píng)估的結(jié)果應(yīng)與預(yù)期一致。風(fēng)險(xiǎn)評(píng)估和處置可以從組織的角度進(jìn)行，也可以在部門的范圍內(nèi)執(zhí)行。部門的信息安全風(fēng)險(xiǎn)評(píng)估和處置記錄可以是獨(dú)立的，也可以是整個(gè)組織評(píng)估記錄的一部分，記錄的形式，不影響風(fēng)險(xiǎn)評(píng)估和處置的執(zhí)行。

風(fēng)險(xiǎn)評(píng)估方法要滿足27001 標(biāo)準(zhǔn)的要求，具有可操作性，組織需要考慮業(yè)務(wù)的風(fēng)險(xiǎn)因素，評(píng)估結(jié)果能夠再現(xiàn)。組織信息資產(chǎn)的收集和風(fēng)險(xiǎn)分析要覆蓋信息安全管理體系的范圍。組織提供的風(fēng)險(xiǎn)評(píng)估報(bào)告及其重要資產(chǎn)清單要與信息安全管理體系的范圍相適應(yīng)，符合組織的信息安全現(xiàn)狀。風(fēng)險(xiǎn)評(píng)估應(yīng)當(dāng)作為常規(guī)性的工作，在風(fēng)險(xiǎn)策劃階段就考慮和確定風(fēng)險(xiǎn)評(píng)估的時(shí)間間隔，規(guī)定重新啟動(dòng)風(fēng)險(xiǎn)評(píng)估程序的特殊情況。根據(jù)組織規(guī)模的大小，風(fēng)險(xiǎn)評(píng)估和處置可能由組織統(tǒng)一規(guī)劃發(fā)起，對(duì)于較大的組織，也可以由各個(gè)部門自行規(guī)劃實(shí)施。

風(fēng)險(xiǎn)處置是整個(gè)風(fēng)險(xiǎn)管控流程中的重要環(huán)節(jié)。信息安全風(fēng)險(xiǎn)評(píng)估和處置主要關(guān)注信息安全管控流程和信息安全風(fēng)險(xiǎn)管控的實(shí)施結(jié)果。依據(jù)風(fēng)險(xiǎn)值大小，風(fēng)險(xiǎn)處置計(jì)劃對(duì)風(fēng)險(xiǎn)的處置方式有降低、保留、規(guī)避或轉(zhuǎn)移風(fēng)險(xiǎn)等多種方式。其中購(gòu)買商業(yè)保險(xiǎn)是轉(zhuǎn)移風(fēng)險(xiǎn)的一個(gè)例子。風(fēng)險(xiǎn)處置的原則是適度接受風(fēng)險(xiǎn)，即根據(jù)組織可接受的處置成本，將殘余風(fēng)險(xiǎn)控制在可以接受的范圍內(nèi)。風(fēng)險(xiǎn)接受的前提是確定信息系統(tǒng)的風(fēng)險(xiǎn)等級(jí)，評(píng)估風(fēng)險(xiǎn)發(fā)生的可能性和潛在的破壞性，分析使用處理措施的可能性，并進(jìn)行成本效益分析，確定特定信息資產(chǎn)是否需要進(jìn)一步保護(hù)。同時(shí)信息安全風(fēng)險(xiǎn)處置計(jì)劃應(yīng)得到監(jiān)視和評(píng)審，殘余風(fēng)險(xiǎn)要控制在組織可接受的范圍之內(nèi)并得到領(lǐng)導(dǎo)層的批準(zhǔn)。組織的各個(gè)部門可以單獨(dú)制定信息安全風(fēng)險(xiǎn)處置計(jì)劃，較小的組織也可以只在IT 部門進(jìn)行風(fēng)險(xiǎn)處置。

4.3 信息安全管理體系全周期審核

上述策劃和運(yùn)行是信息安全管理體系的主要環(huán)節(jié)，信息安全的評(píng)測(cè)和改進(jìn)環(huán)節(jié)組成了完整的信息安全管理體系周期。

信息安全風(fēng)險(xiǎn)的績(jī)效評(píng)價(jià)是PDCA 循環(huán)中的測(cè)量部分，通過對(duì)管理體系執(zhí)行效果評(píng)價(jià)促進(jìn)管理體系完善。測(cè)量分為定期測(cè)量和不定期測(cè)量。內(nèi)部審核和管理評(píng)審屬于定期測(cè)量；不定期測(cè)量包括對(duì)控制措施的檢查和對(duì)風(fēng)險(xiǎn)變化的監(jiān)視和測(cè)量。風(fēng)險(xiǎn)本身是隨著環(huán)境變化的，受到物理環(huán)境、政策等各種因素的影響，風(fēng)險(xiǎn)管理本身是一種動(dòng)態(tài)管理。

不符合的糾正和持續(xù)改進(jìn)是PDCA 循環(huán)中的改進(jìn)環(huán)節(jié)，是解決問題實(shí)現(xiàn)改進(jìn)的關(guān)鍵階段。組織要針對(duì)不符合進(jìn)行糾正，分析原因，制定和執(zhí)行糾正措施，評(píng)審糾正措施的有效性；持續(xù)改進(jìn)體現(xiàn)了組織管理者對(duì)信息管理體系的期望，重點(diǎn)關(guān)注體系運(yùn)行效果、現(xiàn)存問題、采取的糾正措施和持續(xù)改進(jìn)計(jì)劃。

4.4 信息安全控制目標(biāo)

ISO 27001 附錄中涉及眾多安全類別和控制項(xiàng)目，這些內(nèi)容是業(yè)界安全風(fēng)險(xiǎn)控制的良好實(shí)踐總結(jié)，也是運(yùn)行信息安全管理體系的具體要求。安全控制分為通用控制和專用控制。通用控制措施適用于所有部門和業(yè)務(wù)過程，如資產(chǎn)管理、訪問控制和信息安全事件管理等；專用控制措施只適用于特殊的職能部門和業(yè)務(wù)過程，如系統(tǒng)開發(fā)安全、人力資源安全、供應(yīng)商關(guān)系、業(yè)務(wù)連續(xù)性管理的信息安全等。組織應(yīng)當(dāng)給出SoA（statement of applicability，適用性聲明）文件，聲稱滿足全部或部分的控制措施，或者聲稱有增強(qiáng)的安全要求，能夠滿足超出附錄的更多的安全控制目標(biāo)。對(duì)于刪減的安全控制措施，應(yīng)給出合理的理由。

安全目標(biāo)描述了實(shí)現(xiàn)安全控制目標(biāo)的具體方法，組織在建立信息安全管理體系的過程中，可以參考安全目標(biāo)，提高體系建立的有效性。

4.5 信息安全策略與組織安全

信息安全策略集應(yīng)當(dāng)由管理者批準(zhǔn)并傳達(dá)給所有員工和外部相關(guān)方，同時(shí)注意保密要求，某些控制策略，如網(wǎng)絡(luò)安全訪問策略不能被外界獲知。

組織內(nèi)部應(yīng)建立管理框架，合理劃分角色，實(shí)現(xiàn)職責(zé)分離，防止人員職責(zé)過于集中而增加發(fā)生差錯(cuò)、舞弊和掩飾的可能性。組織應(yīng)維護(hù)與網(wǎng)信辦、網(wǎng)絡(luò)監(jiān)管部門、安全論壇等機(jī)構(gòu)的聯(lián)系，以應(yīng)對(duì)自身無法解決的信息安全事件。組織的信息安全管理應(yīng)深入到項(xiàng)目管理中，將項(xiàng)目的信息安全風(fēng)險(xiǎn)納入信息安全風(fēng)險(xiǎn)評(píng)估的過程。如果有信息安全事件發(fā)生，應(yīng)追蹤審核。

4.6 信息資產(chǎn)安全

組織應(yīng)建立和維護(hù)信息資產(chǎn)清單，指定信息資產(chǎn)責(zé)任人，制定信息資產(chǎn)使用規(guī)定文件。組織的信息資產(chǎn)應(yīng)當(dāng)分級(jí)，按照標(biāo)記規(guī)程進(jìn)行標(biāo)記，并依據(jù)資產(chǎn)的重要程度進(jìn)行適當(dāng)水平的保護(hù)及備份。標(biāo)記規(guī)程要適應(yīng)企業(yè)實(shí)際，不恰當(dāng)?shù)臉?biāo)記反而會(huì)增加信息資產(chǎn)的風(fēng)險(xiǎn)。組織應(yīng)根據(jù)資產(chǎn)分級(jí)，制定存儲(chǔ)介質(zhì)管理規(guī)程，對(duì)U 盤、機(jī)械硬盤或紙質(zhì)文件等存儲(chǔ)介質(zhì)的使用、轉(zhuǎn)移、損壞、報(bào)廢、銷毀等作出規(guī)定。

4.7 訪問控制

訪問控制是實(shí)現(xiàn)信息安全管理目標(biāo)的重要措施之一。組織應(yīng)編制針對(duì)物理設(shè)備、網(wǎng)絡(luò)、網(wǎng)絡(luò)服務(wù)、信息系統(tǒng)等的訪問控制策略。其中網(wǎng)絡(luò)和網(wǎng)絡(luò)服務(wù)是信息安全風(fēng)險(xiǎn)管理的關(guān)鍵部分，網(wǎng)絡(luò)訪問策略包括允許策略、限制策略、訪客策略、防火墻策略、行為管理策略等。

用戶訪問管理應(yīng)確保授權(quán)用戶的訪問，并防止未授權(quán)的訪問。門禁系統(tǒng)、OA、網(wǎng)絡(luò)、郵件系統(tǒng)、財(cái)務(wù)系統(tǒng)等都應(yīng)實(shí)現(xiàn)正式的用戶注冊(cè)、注銷過程。由于數(shù)據(jù)關(guān)聯(lián)性，用戶注銷不等同于賬戶刪除，可能通過賬戶禁用或撤銷權(quán)限的方式實(shí)現(xiàn)注銷。一般信息系統(tǒng)設(shè)定多個(gè)角色，通過指定用戶角色的方式分配用戶權(quán)限。超級(jí)用戶應(yīng)有操作日志，以監(jiān)督其特許訪問權(quán)限的使用情況。用戶對(duì)信息系統(tǒng)的視圖應(yīng)與其權(quán)限相一致，應(yīng)有登錄規(guī)程、口令管理、限制特權(quán)程序、限制對(duì)源代碼的訪問等。

4.8 通信安全

通信安全涉及網(wǎng)絡(luò)安全管理和信息傳輸安全。組織的網(wǎng)絡(luò)拓?fù)鋱D一般涉及主機(jī)、服務(wù)器、路由器、交換機(jī)、防火墻、IDS（intrusion detection system，入侵檢測(cè)系統(tǒng)）、IPS（intrusion prevention system，入侵防御系統(tǒng)）、上網(wǎng)行為管理服務(wù)器、無線AP（access point，無線接入點(diǎn)）、無線控制器等。組織的網(wǎng)絡(luò)規(guī)劃應(yīng)融合網(wǎng)絡(luò)服務(wù)訪問控制要求，網(wǎng)絡(luò)的安全機(jī)制和服務(wù)級(jí)別體現(xiàn)在網(wǎng)絡(luò)服務(wù)協(xié)議中。常見的網(wǎng)絡(luò)安全措施有網(wǎng)絡(luò)設(shè)備入網(wǎng)管理、基于VPN（virtual private networks，虛擬專用網(wǎng)）的網(wǎng)絡(luò)傳輸安全控制、防火墻設(shè)備、部署上網(wǎng)行為管理、在網(wǎng)絡(luò)交換機(jī)中部署ACL（access control list，訪問控制列表）等。組織可通過物理或邏輯方式實(shí)現(xiàn)網(wǎng)絡(luò)隔離。

網(wǎng)絡(luò)隔離可以通過劃分子網(wǎng)或VLAN（virtual local area network，虛擬局域網(wǎng)）的方式實(shí)現(xiàn)。組織應(yīng)制定信息傳輸策略和規(guī)程，確保組織內(nèi)部與外部的信息傳輸安全。

確保工作中涉及的電子信息安全。保證電子信息傳輸安全的方式有郵件加密協(xié)議、SSL（secure sockets layer，安全套接字）協(xié)議、SET（secure electronic transaction，安全電子交易）協(xié)議。組織還應(yīng)針對(duì)不同的工種簽訂不同的保密協(xié)議。

4.9 其他關(guān)注點(diǎn)

信息安全管理體系審核還涉及密碼控制。密碼控制不同于口令，應(yīng)選擇適合組織業(yè)務(wù)的對(duì)稱或非對(duì)稱加密技術(shù)，制定和實(shí)現(xiàn)組織業(yè)務(wù)生命周期的密鑰使用和保護(hù)策略，避免使用非公開加密算法。確保物理和環(huán)境安全，防止未授權(quán)人員進(jìn)入特定區(qū)域，防護(hù)自然災(zāi)害和意外的發(fā)生[5-7]。

5   結(jié)束語

組織將風(fēng)險(xiǎn)管理思想融入到信息安全管理體系建立和運(yùn)行過程中，從技術(shù)和管理兩個(gè)方面著手，同時(shí)借鑒第三方審核的經(jīng)驗(yàn)，提高信息安全管理體系運(yùn)行的有效性，促進(jìn)組織業(yè)務(wù)持續(xù)高效發(fā)展，實(shí)現(xiàn)組織和相關(guān)方的利益共贏^[8]。

參考文獻(xiàn)：

[1] CHOO B S,GOH J C.Adapting the ISO 31000:2009 enterprise r i s k m a n a g e m e n t f r a m e w o r k u s i n g t h e s i x s i g m a approach[C].2014 IEEE International Conference on Industrial Engineering and Engineering Management:39-43,Bandar Sunway,2014.

[2] 濮燁青.基于ISO27000系列標(biāo)準(zhǔn)的本體建模與評(píng)估技術(shù)研究及應(yīng)用[D].上海:上海交通大學(xué),2017.

[3] 聶自闖.基于SDN的IoT設(shè)備細(xì)粒度訪問控制研究與實(shí)現(xiàn)[D].重慶:重慶郵電大學(xué),2019.

[4] 魏建清.信息安全管理體系建設(shè)探析[J].上海質(zhì)量,2013(08):45-47.

[5] 張雅慧.A公司信息安全管理的問題與策略研究[D].泉州:華僑大學(xué),2019.

[6] 李存建,李素鵬.論我國(guó)等同采用國(guó)際風(fēng)險(xiǎn)管理標(biāo)準(zhǔn)的必要性[J].中國(guó)標(biāo)準(zhǔn)化,2010(04):26-29.

[7] 丁艷玲.風(fēng)險(xiǎn)管理理念在專利管理中的應(yīng)用[J].中國(guó)發(fā)明與專利,2011(03):91.

[8] 黃水清,任妮.對(duì)《數(shù)字圖書館安全管理指南》及其“解讀”的辨析[J].中國(guó)圖書館學(xué)報(bào),2012,38(01):25-33.

《本文來源于《電子產(chǎn)品世界》雜志2021年5月期）