曹劍鋒

隨著信息化程度的不斷提高，信息安全的重要性得到了前所未有的重視?！?006—2020年國(guó)家信息化發(fā)展戰(zhàn)略》中認(rèn)為“信息安全的重要性與日俱增，成為各國(guó)面臨的共同挑戰(zhàn)”。

雖然國(guó)內(nèi)外重視程度都很高，但是“各國(guó)面臨的共同挑戰(zhàn)”并沒(méi)有得到很好的解決，具體表現(xiàn)為信息安全事件發(fā)生率居高不下。根據(jù)最近的2010/2011Computer Crime and Security Survey報(bào)告，有41.1%的受訪組織經(jīng)歷了信息安全事件，攻擊源來(lái)自內(nèi)部用戶濫用網(wǎng)絡(luò)或郵件（Insider abuse of Net access or email）的 占24.8%。國(guó)內(nèi)雖然沒(méi)有權(quán)威的統(tǒng)計(jì)數(shù)據(jù)，但是根據(jù) CNCERT/CC（http：//www.cert.org.cn/，國(guó)家互聯(lián)網(wǎng)應(yīng)急中心）的“被黑網(wǎng)站統(tǒng)計(jì)”和“惡意代碼排行”欄目推斷，不會(huì)比國(guó)外的情況更好。而與此同時(shí)，被試組織殺毒軟件和防火墻的使用率分別達(dá)到了97%和94.9%，但49%的被試組織沒(méi)有安全意識(shí)教育或沒(méi)有相應(yīng)的有效性測(cè)量機(jī)制，這意味著目前重技術(shù)輕管理的思路并沒(méi)有實(shí)質(zhì)性的改變信息安全管理（Information Security Management，ISM）的有效性。

只有在宏觀層次上實(shí)施了良好的信息安全管理，即采用國(guó)際上公認(rèn)的最佳實(shí)踐或規(guī)則集等，才能使微觀層次上的安全，如物理措施等，實(shí)現(xiàn)其恰當(dāng)?shù)淖饔谩２捎眯畔踩芾眢w系（ISMS，Information Security Management System）并得到認(rèn)證毫無(wú)疑問(wèn)是組織應(yīng)該考慮的方案之一。事實(shí)上，也只有這樣才能真正站在組織的高度上來(lái)對(duì)待信息安全問(wèn)題。

ISMS是關(guān)于信息安全的管理體系，是整個(gè)管理體系的一部分。它基于業(yè)務(wù)風(fēng)險(xiǎn)方法來(lái)建立、實(shí)施、運(yùn)行、監(jiān)視、評(píng)審、保持和改進(jìn)信息安全。ISMS的概念已經(jīng)跳出了傳統(tǒng)的“為了安全信息而信息安全”的理解，它強(qiáng)調(diào)的是基于業(yè)務(wù)風(fēng)險(xiǎn)方法來(lái)組織信息安全活動(dòng)。

基于上述情況，為了在信息安全領(lǐng)域樹(shù)立起正確觀念并培養(yǎng)專業(yè)人才，為了把我國(guó)信息安全領(lǐng)域?qū)＜覍W(xué)者們近幾年來(lái)自主研究出的得到實(shí)踐驗(yàn)證了的支持ISMS的措施和手段更進(jìn)一步推廣，為了減少各類組織面對(duì)風(fēng)險(xiǎn)可能產(chǎn)生的損失，我社組織他們圍繞ISMS編寫(xiě)了信息安全管理體系叢書(shū)。叢書(shū)成功入選國(guó)家“十二五”重點(diǎn)規(guī)劃圖書(shū)。

《信息安全管理體系實(shí)施指南》是叢書(shū)13個(gè)分冊(cè)中的關(guān)鍵分冊(cè)，其共分三篇：標(biāo)準(zhǔn)解讀、標(biāo)準(zhǔn)落地及延伸閱讀。

標(biāo)準(zhǔn)解讀部分，對(duì) GB/T 22080—2008/ISO/IEC 27001：2005《信息技術(shù)

安全技術(shù) 信息安全管理體系 要求》的解讀力求通俗易懂，用了大量圖示，也列舉了大量示例，以幫助讀者利用已有的經(jīng)驗(yàn)來(lái)理解信息安全管理體系中晦澀的概念。

標(biāo)準(zhǔn)落地部分，主要介紹標(biāo)準(zhǔn)如何實(shí)施，本部分內(nèi)容參考了ISO/IEC 27003：2010，但又有顯著不同：盡量考慮國(guó)內(nèi)部署信息安全管理體系的特殊情況，不但介紹標(biāo)準(zhǔn)實(shí)施的基本步驟，而且將文件設(shè)計(jì)的編寫(xiě)單獨(dú)作為一章進(jìn)行討論，給出了從標(biāo)準(zhǔn)條款到文件目錄，從文件目錄到單個(gè)文件的概要和大綱，直至組織針對(duì)這些概要和大綱所選擇的具體控制措施，最后成文的整個(gè)過(guò)程，力爭(zhēng)做到“授人以漁”。

延伸閱讀部分，主要為想深入研究信息安全管理體系的讀者準(zhǔn)備，一部分是信息安全管理體系標(biāo)準(zhǔn)族的概述，另一部分是除了 GB/T 22080—2008/ISO/IEC 27001：2005之外的已經(jīng)出版的重要標(biāo)準(zhǔn)的綜述。

本書(shū)成文深入淺出，通俗易懂，大量使用生活化的例子對(duì)其中的概念進(jìn)行類比，避免了“以理論解釋理論”的慣常套路，極有利于讀者的直觀理解。